Nginx SSL在Debian上如何优化性能

在Debian上优化Nginx SSL性能可从以下方面入手：

1. 协议与加密套件优化

   • 仅启用TLS 1.2/1.3，禁用旧版本：
     ssl_protocols TLSv1.2 TLSv1.3;
   • 选用高效加密套件（优先ECDHE算法）：
     ssl_ciphers 'ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256';
   • 启用前向保密：ssl_prefer_server_ciphers on;

2. 会话复用与缓存

   • 启用SSL会话缓存减少握手开销：
     ssl_session_cache shared:SSL:10m; ssl_session_timeout 10m;
   • 可选：启用会话票证（需注意安全场景）：ssl_session_tickets on;

3. 启用HTTP/2与OCSP Stapling

   • 启用HTTP/2提升多路复用性能：listen 443 ssl http2;
   • 配置OCSP Stapling减少证书验证延迟：
     ssl_stapling on; ssl_stapling_verify on; resolver 8.8.8.8 8.8.4.4 valid=300s;

4. Gzip压缩与资源优化

   • 启用Gzip压缩传输数据：
     gzip on; gzip_types text/css application/javascript; gzip_comp_level 6;
   • 优化静态资源缓存：
     location ~* \.(jpg|css|js)$ { expires 30d; add_header Cache-Control "public"; }

5. 系统与Nginx参数调优

   • 调整工作进程与连接数：
     worker_processes auto; worker_connections 1024;（需根据服务器资源调整）
   • 启用TCP优化（需修改/etc/sysctl.conf）：
     net.ipv4.tcp_tw_reuse = 1; net.core.somaxconn = 65535;

6. 安全与维护

   • 使用Let’s Encrypt自动续期证书：certbot renew --dry-run
   • 定期测试配置语法：nginx -t，重启服务：systemctl reload nginx

参考来源：