自2018年7月起，谷歌瀏覽器開始將“ HTTP”網站標記為“不安全”。在過去的幾年中，網際網路已經迅速過渡到HTTPS，Chrome瀏覽器的流量超過70％，並且Web排名前100位的網站中有80多個現在預設使用HTTPS 當前Nginx作為最常見的伺服器，廣泛用於負載均衡（LB)、閘道器、反向代理。考慮到這一點，讓我們看一下Nginx調優技巧，改善Nginx + HTTPS的效能以獲得更好的TTFB和更少的延遲。  HTTPS 優化 # 1\. 開啟 HTTP/2 HTTP/2最初是在Nginx版本1.9.5中實現的，以取代spdy。在Nginx上啟用HTTP/2模組很簡單。 原先的配置： ``` listen 443 ssl; ``` 修改為： ``` listen 443 ssl http2; ``` 可以通過curl來驗證： ``` curl --http2 -I https://domain.com/ ``` # 2\. 開啟 SSL session 快取 啟用 SSL Session 快取可以減少 TLS 的反覆驗證，減少 TLS 握手。 1M 的記憶體就可以快取 4000 個連線，非常划算，現在記憶體便宜，儘量開啟。 ``` ssl_session_cache shared:SSL:50m; # 1m 4000個， ssl_session_timeout 1h; # 1小時過期 1 hour during which sessions can be re-used. ``` # 3\. 禁用 SSL session tickets 由於Nginx中尚未實現SSL session tickets，可以關閉。 ``` ssl_session_tickets off; ``` # 4\. 禁用 TLS version 1.0 1.3已經出來。1.0可以丟進歷史垃圾堆 ``` ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3; ``` 修改為 ``` ssl_protocols TLSv1.2 TLSv1.3; ``` # 5\. 啟用OCSP Stapling 如果不啟用 OCSP Stapling 的話，在使用者連線你的伺服器的時候，需要去驗證證書，這個驗證證書的時間不可控，我們開啟OCSP Stapling後，可以省掉這一步。 ``` ssl_stapling on; ssl_stapling_verify on; ssl_trusted_certificate /path/to/full_chain.pem; resolver 8.8.8.8 8.8.4.4 valid=300s; resolver_timeout 5s; ``` # 6\. 減小ssl buffer size ssl_buffer_size 控制在傳送資料時的 buffer 大小，預設情況下，緩衝區設定為16k，為了最大程度地減少TTFB（至第一個位元組的時間），最好使用較小的值，這樣TTFB可以節省大約30 – 50ms。 ``` ssl_buffer_size 4k; ``` # 7\. 調整 Cipher 優先順序 更新更快的 Cipher放前面，這樣延遲更小。 ``` # 手動啟用 cipher 列表 ssl_prefer_server_ciphers on; # prefer a list of ciphers to prevent old and slow ciphers ssl_ciphers 'EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+ED