Soru Apache - çok yavaş ilk el sıkışma (SSL etkin)


Apache sunucusu ile ilgili bir sorunum var. İlk SSL el sıkışma yaklaşık 5-7 saniye sürüyor, bu da korkunç. Bundan sonra cevap süresi milisaniye cinsindendir - ancak mesajlar ilkinden hemen sonra gönderilmeli veya birkaç saniyelik hareketsizlikten sonra tekrar el sıkışma yapılacaktır. Apache yapılandırması ile hızlandırmak için herhangi bir yolu var mı?


7
2018-06-15 11:19


Menşei




Cevaplar:


Bu, bazı Linux dağıtımı ile doğru mu?

Bu sunucu çoğunlukla boşta mı? Apache belki de / Dev / random. Bu bazen çok yavaş olabilir / Dev / random "gerçek" rastgelelik gerektirir; fareyi hareket ettirmek, klavye ve ağ trafiğini kullanmak gibi şeyler entropiyi toplar. Çekirdek entropisi havuzu neredeyse boşsa, rastgelelik gerektiren süreçler (uzun) bir süre durma eğilimindedir.

Durum böyle olsaydı, cat /proc/sys/kernel/random/entropy_avail SSL el sıkışma sırasında sıfıra yakın olmalıdır.

Rastgelelik kaynağını / Dev / urandom kullanarak SSLRandomSeedApache direktifiama uyarılmalıdır, bu teorik olarak / dev / random olarak güvenli değildir.

Diğer çözüm, benzer şekilde rngd (mevcut rng-tools entropi havuzunu dolduran birçok Linux dağıtımında paket.


5
2018-06-15 11:26



İle değişiklik yok /dev/urandom. Bende yok rng-tools ve tcpdump Aşağıdaki gönderiden ve sunucunun yöneticisi değilim çünkü yükleyemiyorum. - Tom


Janne Pikkarainen'in söylediklerinin yanı sıra, sunucunun SSL istekleri için bir DNS geriye doğru araması yapmadığını da kontrol edin. Koş tcpdump -pi eth0 port 53.


1
2018-06-15 11:44