nginx https性能优化

影响HTTPS速度的主要原因：秘钥交换算法

常见的密钥交换算法有 RSA，ECDHE，DH，DHE 等算法。它们的特性如下：

• RSA：算法实现简单，诞生于 1977 年，历史悠久，经过了长时间的破解测试，安全性高。缺点就是需要比较大的素数（目前常用的是 2048 位）来保证安全强度，很消耗 CPU 运算资源。RSA 是目前唯一一个既能用于密钥交换又能用于证书签名的算法。
• DH：diffie-hellman 密钥交换算法，诞生时间比较早（1977 年），但是 1999 年才公开。缺点是比较消耗 CPU 性能。
• ECDHE：使用椭圆曲线（ECC）的 DH 算法，优点是能用较小的素数（256 位）实现 RSA 相同的安全等级。缺点是算法实现复杂，用于密钥交换的历史不长，没有经过长时间的安全攻击测试。
• ECDH：不支持 PFS，安全性低，同时无法实现 false start。 DHE：不支持 ECC。非常消耗 CPU 资源 。

建议优先支持 RSA 和 ECDH_RSA 密钥交换算法。原因是：

1. ECDHE 支持 ECC 加速，计算速度更快。支持 PFS，更加安全。支持 false start，用户访问速度更快。
2. 目前还有至少 20% 以上的客户端不支持 ECDHE，我们推荐使用 RSA 而不是 DH 或者 DHE，因为 DH 系列算法非常消耗 CPU（相当于要做两次 RSA 计算）。

配置如下：

    server {
        listen       443;
        server_name wx.mingxiao.com;
        ssl on;
        ssl_certificate /usr/local/app/nginx/conf/ssl/51.com.crt;
        ssl_certificate_key /usr/local/app/nginx/conf/ssl/51.com.key;
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
        ssl_ciphers ALL:!DH:!EXPORT:!RC4:+HIGH:+MEDIUM:!LOW:!aNULL:!eNULL;
        location / {
            proxy_pass http://smallchannel_pool;
            proxy_next_upstream error timeout invalid_header http_500 http_503 http_404;
            proxy_buffer_size 128k;
            proxy_buffers   4 256k;
            proxy_busy_buffers_size 256k;
            proxy_set_header Host $host;
            #add https_tag into head for sign https
            proxy_set_header Https_tag 'https';
            proxy_set_header X-Real-IP $remote_addr;
            proxy_set_header X-Forwarded-For  $proxy_add_x_forwarded_for;
         }
        access_log  /data/logs/https.wx.mingxiao.com.access.log  referer;
     }