Nginx SSL在Debian上如何優化性能

在Debian上優化Nginx SSL性能可從以下方面入手：

1. 協議與加密套件優化

   • 僅啟用TLS 1.2/1.3，禁用舊版本：
     ssl_protocols TLSv1.2 TLSv1.3;
   • 選用高效加密套件（優先ECDHE算法）：
     ssl_ciphers 'ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256';
   • 啟用前向保密：ssl_prefer_server_ciphers on;

2. 會話復用與緩存

   • 啟用SSL會話緩存減少握手開銷：
     ssl_session_cache shared:SSL:10m; ssl_session_timeout 10m;
   • 可選：啟用會話票證（需注意安全場景）：ssl_session_tickets on;

3. 啟用HTTP/2與OCSP Stapling

   • 啟用HTTP/2提升多路復用性能：listen 443 ssl http2;
   • 配置OCSP Stapling減少證書驗證延遲：
     ssl_stapling on; ssl_stapling_verify on; resolver 8.8.8.8 8.8.4.4 valid=300s;

4. Gzip壓縮與資源優化

   • 啟用Gzip壓縮傳輸數據：
     gzip on; gzip_types text/css application/javascript; gzip_comp_level 6;
   • 優化靜態資源緩存：
     location ~* \.(jpg|css|js)$ { expires 30d; add_header Cache-Control "public"; }

5. 系統與Nginx參數調優

   • 調整工作進程與連接數：
     worker_processes auto; worker_connections 1024;（需根據服務器資源調整）
   • 啟用TCP優化（需修改/etc/sysctl.conf）：
     net.ipv4.tcp_tw_reuse = 1; net.core.somaxconn = 65535;

6. 安全與維護

   • 使用Let’s Encrypt自動續期證書：certbot renew --dry-run
   • 定期測試配置語法：nginx -t，重啟服務：systemctl reload nginx

參考來源：