1. 우분투14.04/apache 2.4.7/ xe 환경에서 ssl 설치 후 간혹 첫로딩 또는 일부구간에서 로딩시간이 길어지는 증상이 나타나고 있는데요. 혹시 이런 경우 어떤 부분을 살펴봐야 할지 도움 말씀 부탁드리겠습니다.
2. 검색 중 https://xetown.com/tiptalk/9778 를 발견하고 아래 항목을 적용하고자 합니다.
OCSP Stapling은 님의 인증서가 유효하다는 증명을 미리 받아두어서
사용자가 님의 사이트에 처음 방문할 때 접속 속도를 높여주는 방법입니다.
아파치는 DH Param을 지원하지 않습니다.
아파치 2.4 이상에서는 아래의 설정으로 OCSP Stapling을 적용할 수 있습니다.
SSLUseStapling on
SSLStaplingResponderTimeout 5
SSLStaplingReturnResponderErrors off
SSLStaplingCache shmcb:/var/run/ocsp(128000)
위의 설정에 사용되는 shmcb:/var/run... 이 설정은 바꾸지 않아도 됩니다.
ocsp 파일 경로를 지정하는 것이 아니라 내부적으로 사용하는 캐시파일 경로거든요.
========================================================
위 팁을 아래 위치에 적용하는게 맞는지 도움 말씀 부탁드립니다.
<VirtualHost *:443>....
...
Header always set Strict-Transport-Security "max-age=31536000"
SSLEngine on
SSLProtocol all -SSLv2 -SSLv3
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA
SSLHonorCipherOrder on
SSLCertificateFile "/home/myuser1/ssl/mysite_ssl.crt"
SSLCertificateKeyFile "/home/myuser1/ssl/mysite_ssl.key"
SSLCertificateChainFile "/home/myuser1/ssl/mysite_ssl.certchain.crt"
[ 결과 추가 : 아래와 같이 추가 했습니다. ]
SSLUseStapling on
SSLStaplingResponderTimeout 5
SSLStaplingReturnResponderErrors off
<VirtualHost>
SSLStaplingCache shmcb:/var/run/ocsp(128000)
댓글 10
https://www.sslshopper.com/ssl-checker.html?hostname=martmonster.com (체인 인증서 테스트용)
https://www.ssllabs.com/ssltest/analyze.html?d=martmonster.com (SSL 보안설정 테스트용)
웹지기님 두군데 모두 살펴보았지만 속도와 관련된 부분은 찿질 못했는데 어떤 부분을 말씀 하시는 건지 도움 말씀 좀 받을 수 있을까요?
찾기 어려우실때는 F5를 누르시고 찾고자 하는 검색어로 검색하면 쉽게 찾습니다. OCSP stapling 로 검색해보세요.
아 위 질문글에서 해당 팁을 어느 위치에 넣는게 맞는지 문의를 드린 부분이구요.
아직 팁 적용은 하질 못했습니다.
SSLStapling에서 S가 하나 빠졌네요 ㅋㅋ
Stapling을 사용하면 최초 접속시 약간 빨라지기는 합니다만, 수시로 느려진다면 그것 외에도 다른 이유가 있을지 모릅니다. 예를 들어 국내 모 통신사에서 해외서버로 접속하면 80 포트보다 443 포트에 QOS가 훨씬 심하게 걸려서 SSL 쓰면 느리다는 인상을 주곤 합니다. 잘 사용하다가 중간중간 느려진다면 SSLSessionCache 등을 찾아보셔야 할 수도 있고요.
감사합니다.
아래와 같이 추가해서 최종 확인 했습니다.
[ 결과 추가 : 아래와 같이 추가 했습니다. ]
SSLUseStapling on
SSLStaplingResponderTimeout 5
SSLStaplingReturnResponderErrors off
<VirtualHost>
SSLStaplingCache shmcb:/var/run/ocsp(128000)
댓글에 이미 있는 웹지기님과 기진곰님의 대화를 보고 수정 했습니다.