এনগিনেক্সে এসএসএল হ্যান্ডশেক আলোচনার মারাত্মক ধীর গতি

17

আমি এনগিনেক্সকে 4 টি অ্যাপাচি দৃষ্টান্তের জন্য প্রক্সি হিসাবে ব্যবহার করছি। আমার সমস্যাটি হ'ল এসএসএল আলোচনায় অনেক সময় লাগে (600 এমএস)। এটি একটি উদাহরণ হিসাবে দেখুন: http://www.webpagetest.org/result/101020_8JXS/1/details/

এখানে আমার এনগিনেক্স কনফ:

user www-data;
worker_processes  4;


events {
    worker_connections 2048;
    use epoll;
}

http {
    include       /etc/nginx/mime.types;
    default_type  application/octet-stream;
    access_log  /var/log/nginx/access.log;
    sendfile        on;
    keepalive_timeout  0;
    tcp_nodelay        on;
    gzip  on;
    gzip_proxied any;
    server_names_hash_bucket_size 128;


}

upstream abc {
     server 1.1.1.1 weight=1;
     server 1.1.1.2 weight=1;
     server 1.1.1.3 weight=1;


 }


server {
    listen   443;
    server_name  blah;

    keepalive_timeout 5;

    ssl  on;
    ssl_certificate  /blah.crt;
    ssl_certificate_key  /blah.key;
    ssl_session_cache  shared:SSL:10m;
    ssl_session_timeout  5m;
    ssl_protocols  SSLv2 SSLv3 TLSv1;
    ssl_ciphers RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
    ssl_prefer_server_ciphers   on;

    location / { proxy_pass http://abc;

                 proxy_set_header X-Real-IP  $remote_addr;
                 proxy_set_header Host $host;
                 proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

    }

}

মেশিনটি লিনোডের একটি ভিপিএস যা 1 জি র‍্যামের সাথে থাকে। কেউ দয়া করে বলতে পারেন যে এসএসএল হ্যান্ড শেক কেন বয়সের সময় নিচ্ছে?

linux  ssl  nginx 
পারস চোপড়া
সূত্র

উত্তর:

11

আপনাকে "সাময়িকের ডিফাই-হেলম্যানম্যান" সাইফারগুলি অক্ষম করতে হবে। ব্রাউজারগুলি সেগুলি যেভাবেই ব্যবহার করে না, তবে ওপেনএসএসএল যখন সিআরএল বা অ্যাপাচিবেঞ্চের মতো সরঞ্জাম ব্যবহার করবে। সুতরাং আমি বাজি দিচ্ছি যে ওয়েবপেজেস্ট.অর্গ.আর তাদের ব্যবহার করছে।

আরও তথ্যের জন্য এই থ্রেড দেখুন ।

সার্ভারের অগ্রাধিকারের উপর ভিত্তি করে দ্রুততম-তবে-তবে-সুরক্ষিত এসএসএল সিফারগুলিকে বাধ্য করার জন্য আমি ব্যক্তিগতভাবে এই সেটিংগুলি ব্যবহার করি, এবং ব্রাউজারগুলি না:

2014-01-13 আপডেট করুন: আরসি 4-তে সাম্প্রতিক আক্রমণ, বিস্টের বিরুদ্ধে সুরক্ষিত ব্রাউজার আপডেটগুলি এবং ক্লায়েন্ট এবং সার্ভারগুলিতে টিএলএস ভি 1.2 এর আরও বিস্তৃত উপলব্ধতার কারণে এই পরামর্শটি পরিবর্তিত হয়েছে।

2015-10-16 আপডেট হয়েছে: ক্লাউডফ্লেয়ারের প্রস্তাবিত বর্তমান এনগিনেক্স টিএলএস সেটিংস 2015-10-16 । আপডেটের জন্য দয়া করে পূর্ববর্তী লিঙ্কটি পরীক্ষা করুন, কারণ টিএলএসভি 1 সম্ভবত কোনও সময়ে প্রস্তাবিত কনফিগারেশন থেকে সরানো হবে। বর্তমানের সেটিংসটি বর্তমান সেরা অনুশীলন এবং এই তারিখ হিসাবে সর্বশেষ পিসিআই-ডিএসএস অনুসারে এসএসএলভি 3 এবং আরসি 4 অক্ষম করে।

ssl_protocols               TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers                 EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
ssl_prefer_server_ciphers   on;

এটি এই উত্তরের পূর্ববর্তী পরামর্শকে ছাড়িয়ে যায়, যা বিভ্রান্তি এড়াতে মুছে ফেলা হয়েছে।

rmalayter
সূত্র
আরসি 4 হ'ল অনিরাপদ এবং টিএলএসে উপযুক্ত ব্যবহারের উপযুক্ত নয়। "যদিও আরসি 4 অ্যালগরিদম বিভিন্ন ক্রিপ্টোগ্রাফিক দুর্বলতা হিসাবে পরিচিত ছিল (একটি দুর্দান্ত সমীক্ষার জন্য দেখুন [26]) তবে টিএলএসের প্রসঙ্গে এই দুর্বলতাগুলি কীভাবে কাজে লাগানো যেতে পারে তা আগে অনুসন্ধান করা হয়নি। এখানে আমরা দেখিয়েছি যে নতুন এবং সম্প্রতি আরসি 4 কী স্ট্রিমে আবিষ্কার করা বায়াসগুলি আরসি 4 কে এর এনক্রিপশন অ্যালগরিদম হিসাবে ব্যবহার করার সময় টিএলএসে গুরুতর দুর্বলতা তৈরি করে। " টিএলএস এবং ডব্লিউপিএতে আরসি 4 এর সুরক্ষা দেখুন ।
2
@ নোলোএডার যে আরসি 4 আক্রমণটি আমার পোস্টের বহু বছর পরে ঘোষণা করা হয়েছিল; খুব সম্প্রতি অবধি বেশিরভাগ ক্রিপ্টোগ্রাফাররা টিএলএস ভি 1.0 এর আগে এবং তার আগে বিস্ট আক্রমণ করার কারণে এইএসের চেয়ে আরসি 4-র প্রস্তাব দিচ্ছিলেন। এখন যেহেতু বেশিরভাগ ব্রাউজারগুলি সেরা ক্লায়েন্টের পক্ষ থেকে সুরক্ষা দেয় এবং আরসি 4 এর বিরুদ্ধে আরও আক্রমণ করা হয়েছিল, পরামর্শটি পরিবর্তিত হয়েছে। : TLS এর v1.2 জন্য কিছু ভাল nginx সেটিংসের জন্য এই পোস্ট দেখতে blog.cloudflare.com/staying-on-top-of-tls-attacks
rmalayter
আহারে! এর জন্যে দুঃখিত. আমি তারিখগুলি পরীক্ষা করার জন্য ভাবি নি। দুঃখিত।
5

আপনার কোনও ভাল এনট্রপি উত্স নাও থাকতে পারে। না /dev/urandomরয়েছে? না হলে Nginx পড়তে ব্লক করবে /dev/random

আপনার চাবি আকার কি? আরও ধীর।

straceতারা কী করছে তা দেখার জন্য প্রক্রিয়াগুলিকে যুক্ত করার চেষ্টা করুন ।

মার্ক ওয়াগনার
সূত্র
ইউরেনডম প্রায়শই ভিপিএসে অনুপস্থিত থাকায় +1 একটি ভাল সম্ভাবনা বলে মনে হচ্ছে
কাইল ব্র্যান্ড্ট
1

আপনি কোথাও ডিএনএস রেজোলিউশনে অপেক্ষা করছেন না তা পরীক্ষা করে দেখুন।

pjz
সূত্র
0

পরিবর্তন 

ssl_protocols  SSLv2 SSLv3 TLSv1;

প্রতি

ssl_protocols  SSLv3 TLSv1 SSLv2;

প্রোটোকলের চেষ্টা করে যাতে সেগুলি তালিকাভুক্ত হয়।

হাতুড়িবিশেষ
সূত্র
সত্যিই সাহায্য করেনি। ওয়েবপেজটেস্ট.আর.আরসাল্ট 101020_8 কেভিআর / 1 / বিবরণ দেখুন - আলোচনার পরেও পুরো সময়ের 50% সময় লাগে।
পারস চোপড়া
2
SSLv2 ব্যবহার করা উচিত নয়, এটি নিরাপত্তাহীন। এই মন্তব্যের সময় সমস্ত বড় ব্রাউজারের টিএলএসভি 1 সমর্থন করা উচিত যাতে এসএসএলভি 3 এর পাশাপাশি আর প্রয়োজন হয় না। (বেশিরভাগ ব্রাউজারগুলি 1.1 অবলম্বন না করা পর্যন্ত আদর্শভাবে এটি TLSv1 TLSv1.1 টিএলএসভি 1.2 হওয়া উচিত)।
কেবিজি
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.