前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >Nginx开启ssl会话复用,能提升多少性能?

Nginx开启ssl会话复用,能提升多少性能?

作者头像
李俊鹏
发布2021-04-29 16:28:39
发布2021-04-29 16:28:39
3.1K0
举报
文章被收录于专栏:运维研习社

之前专门写过如何优化你的https,里面总结了几点Nginx下优化HTTPS的方法,最后有两点小的建议,没有详细说明,最近在群里看到朋友发的Nginx配置文件,只配置了证书和密钥部分,所以觉得有必要再把这些刨析一下

上图是Nginx官网文档中,关于ssl_session_cache的介绍,ssl_session_cache,就是缓存ssl会话状态的缓存,它有4种模式可选,分别是:

off:严格的禁止使用会话缓存

none:宽松的禁止使用会话缓存,即虽然nginx不说不允许使用会话缓存,但实际不会将会话缓存下来

builtin:openssl的内置缓存,只有一个工作进程可以使用该缓存,官方指出,内置缓存,会导致内存碎片

shared:共享缓存,所有worker进程共享

这条配置,能带来多大的性能提升?我们抓包看

首先实验环境Nginx只配置了证书和密钥,通过wireshark抓包查看不配置ssl_session_cache的完整连接过程

可以看到,三次握手完成后,开始建立TLS连接,交换证书、验证证书,详细的TLS连接过程可参考另外一篇文章《Wireshark抓包帮你理清HTTPS请求流程》,这里不多说了,总结完整建立TLS连接过程如下:

接着我们在Nginx开启ssl_session_cache,重新抓包

可以看到,简单的TLS握手包,完成3个TLS,就建立连接,传输数据,总结简短TLS链接过程如下:

可以看到,简短的TLS链接,比完整的TLS链接少了一个完整的往返,如果按照50ms的TTL,那么一次链接就可以节省100ms,效率提升40%

缓存如何实现的?

在nginx中设置ssl_session_cache之后,就开启了TLS缓存复用,整个过程如下:

客户端Client Hello的时候,会带一个Session ID,如果6769号包中

服务端和客户端协商建立连接,确认Session ID

然后客户端将Session ID保存在本地,再次发起连接的时候,Client Hello会带上这个ID

因为服务端开启了ssl_session_cache,则在缓存中查找对应的Session ID,如果存在则接受并恢复会话,返回相同的Session ID

如果在缓存中,未找到对应的Session ID,则转换成完整的TLS握手

缓存的时间由ssl_session_timeout决定,默认是5分钟

总结:

TLS通过复用ssl来优化TLS连接过程,tls的复用由服务端决定是否可复用,包括session的过期时间,在nginx中,通过开启ssl_session_cache来开启缓存和复用,性能提升40%

话题

ssl优化中,还有哪些方法?

欢迎文末留言

运维技术交流群

「运维研习社」建立了运维技术交流群,大家可以添加小编微信进行加群。欢迎有想法、乐于分享的朋友们一起进群交流学习。

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2021-04-25,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 运维研习社 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档