以下是在Debian下提升Nginx SSL性能的关键措施:
-
更新软件与证书
- 使用最新版Nginx和Let’s Encrypt免费证书,确保安全补丁和性能优化。
- 命令:
sudo apt update && sudo apt install nginx certbot python3-certbot-nginx。
-
优化SSL/TLS配置
- 协议与加密套件:启用TLS 1.3,禁用不安全的MD5和aNULL算法,选择高效加密套件(如
ECDHE-ECDSA-AES128-GCM-SHA256)。 - 会话缓存:启用共享内存缓存(
ssl_session_cache shared:SSL:10m)并设置超时时间(如10分钟),减少握手开销。 - OCSP Stapling:开启证书状态查询缓存,降低客户端验证延迟。
- 协议与加密套件:启用TLS 1.3,禁用不安全的MD5和aNULL算法,选择高效加密套件(如
-
启用高效协议与压缩
- HTTP/2:支持多路复用和头部压缩,显著提升加载速度。
- Gzip压缩:压缩传输内容,减少带宽占用(
gzip on; gzip_comp_level 6)。
-
调整Nginx性能参数
- 工作进程与连接数:设置
worker_processes auto(按CPU核心数自动调整),增加worker_connections(如1024)以提升并发能力。 - 事件驱动模型:使用epoll(Linux)提升I/O效率。
- 工作进程与连接数:设置
-
其他优化
- 禁用不必要的SSL选项(如
ssl_session_tickets off)。 - 启用静态文件缓存(
expires指令)减少磁盘I/O。
- 禁用不必要的SSL选项(如
修改配置后需重启Nginx:sudo systemctl restart nginx,并使用nginx -t测试配置语法。