Apache :: HTTPS много бавен или не отговаря

Автор Qmpeltaty Присъединил се: 06 февруари 2008 г. Публикации: 182 Местоположение: Полша Публикувано: петък, 17 януари '14 г., 15:38 Тема на публикацията: HTTPS много бавен или не отговаря Имам проблем с бавния Apache 2.4.4. Свързан е само с https, което като цяло е 5 пъти по-бавно от същия сайт чрез http. Виждам тази разлика в софтуера за наблюдение, който измерва времето за реакция на http и https на всеки 5 секунди. В някои случаи получих дори изчакване в браузъра на https, докато в същото време сайтът се отваря през http - бавно, но се отваря винаги. Apache работи на Win2k8 Enterprise, версия 2.4.4 x64 - VC10. Сървърът е свързан с доста лоша интернет връзка, тъй като се намира в Африка. Въпреки качеството на връзката http работи правилно през цялото време. Обратно към topjraute Присъединил се: 13 септември 2013 г. Публикации: 188 Местоположение: Рейнланд, Германия Публикувано: петък, 17 януари '14, 18:31 Тема на публикацията: Можете ли да ни кажете нещо за вашата конфигурация (httpd) и ssl имплементация? Например пакети за шифроване, включително "dh-ключове" с повече от 2048 бита, отнемат известно време. А за Windows системите има някои параметри, които помагат за подобряване на производителността. Поздрави JRBНазад към върхаQmpeltatyПрисъединил се: 06 февруари 2008 г. Публикации: 182 Местоположение: Полша Публикувано: събота, 18 януари '14 17:31 Тема на публикацията:ssl.conf : Код:Listen 192.168.1.65:443 httpsAddType application/x-x509-ca-cert .crtAddType application/x-pkcs7-crl.crlSSLPassPhraseDialogbuiltinSSLSessionCache"shmcb:C:/Apache24/logs/ ssl_scache(512000)"SSLSessionCacheTimeout300Mutex defaultDocumentRoot "C:/Apache24/htdocs"ServerName mydomain.comServerAlias ​​www.mydomain.comServerAlias ​​another_mydomain.comServerAlias ​​www.another_mydomain.comErrorLog "log/apache/error .log"SSLEngine onSSLProtocol -ALL +SSLv3 +TLSv1SSLCipherSuite ALL :!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUMSSLCertificateFile "conf/ssl/server.crt"SSLCertificateKeyFile "conf/ssl/server.key"SSLCertificateChainFile "conf/ssl/ ca_bundle.crt"SSLOptions +StdEnvVarsSSLOptions +StdEnvVarsBrowserMatch ".*MSIE.*" \ nokeepalive ssl-unclean-shutdown \ downgrade-1.0 force-response-1.0Назад към върхаjrauteПрисъединил се: 13 септември 2013 г. Публикации: 188Местоположение: Рейнланд, ГерманияP публикувано: събота, 18 януари 14 21:10 Тема на публикацията: Добре. Как измерихте разликата? Сложен уеб сайт ли е? Какъв браузър използвате? (ако е възможно, моля, тествайте с firefox). Вашият ssl.conf изглежда добре, въпреки че бих променил Code:BrowserMatch ".*MSIE.*" nokeepalive ssl-unclean-shutdown downgrade-1.0 force-response-1.0По-новите MSIE не трябва да имат някакви проблеми с предоговаряне на ssl: Ето защо бих опитал: Код: BrowserMatch "MSIE [2-5]" nokeepalive ssl-unclean-shutdown downgrade-1.0 force-response-1.0BrowserMatch "MSIE [16-9]" ssl-unclean-shutdownBesides всичко това бих искал да попитам дали сървърът има инсталиран повече от един nic и ако е така, как е конфигурирано свързването, тъй като използвате специален ip за конфигурацията на vhost. понякога това е проблем с обвързването. Накрая проверете вашата защитна стена, ако сървърът е поставен в dmz. Последно редактирано от jraute на понеделник, 27 януари '14 17:36; редактиран общо 1 път Обратно към началотоQmpeltatyПрисъединил се: 06 февруари 2008 г. Публикации: 182Местоположение: Полша Публикувано: пн, 20 януари '14 9:48 Тема на публикацията: jraute написа: Добре. Как измерихте разликата? Имам система за мониторинг, която постоянно проверява връзката както към http, така и към https. Получавам предупредителни известия само за https. jraute написа: Сложен уеб сайт ли е? Какво имате предвид под сложен уеб сайт? jraute написа: Какъв браузър използвате? (ако е възможно, моля, тествайте с firefox). Проверих и във FF - също не работи. jraute написа: Вашият ssl.conf изглежда добре, въпреки че бих променил BrowserMatch ".*MSIE.*" \ nokeepalive ssl-unclean-shutdown \ downgrade-1.0 force-response-1.0 По-новите MSIE не би трябвало да имат проблеми с предоговарянето на ssl :Затова бих опитал:BrowserMatch "MSIE [2-5]" nokeepalive ssl-unclean-shutdown \downgrade-1.0 force-response-1.0BrowserMatch "MSIE [16-9]" ssl-unclean-shutdownБлагодаря, ще обмисля тази промяна . jraute написа:Освен всичко това бих искал да попитам дали сървърът има инсталиран повече от един nic и ако е така, как е конфигурирано обвързването, тъй като използвате специален ip за конфигурацията на vhost. Понякога това е проблем с обвързването. Това е виртуална машина с един виртуален nic. Имам конфигурирани множество IP адреси на частна мрежа, Apache работи на определен IP адрес, който не се споделя с други услуги.jraute написа:най-накрая проверете вашата защитна стена, ако сървърът е поставен в dmz.Конфигурацията на защитната стена не е променяна повече от година. Чудя се дали https връзката е много повече "необходима от ресурси" от http, дали изисква по-стабилна интернет връзка, повече сървърни ресурси и т.н. - от страната на сървъра? Както споменах, сървърът се намира в Африка, с доста лошо качество на връзката - чудя се дали това може да окаже влияние. От друга страна http работи през цялото време, без никакви проблеми. Обратно към началото SteffenModeratorПрисъединил се: 15 октомври 2005 г. Публикации: 2873 Местоположение: Hilversum, NL,EUПубликувано: понеделник, 20 януари '14, 13:07 Тема на публикацията: Има ли някакви индикации в Apache error.log и/или Windows Event Viewer? Имате ли във вашия httpd.conf:AcceptFilter http none AcceptFilter https none EnableSendfile off EnableMMAP offBack to topQmpeltatyJoined : 06 февруари 2008 г. Публикации: 182 Местоположение: Полша Публикувано: понеделник, 20 януари '14, 14:18 Тема на публикацията: Steffen написа: Има ли някакви индикации в Apache error.log и/или Windows Event Viewer? Регистърът на грешките е ясен. В програмата за преглед на събития открих две грешки, и двете се показват само когато Apache се рестартира: Код: „Име на неизправно приложение: httpd.exe, версия: 2.4.4.0, клеймо за време: 0x5127dda0Име на неизправен модул: SSLEAY32.dll, версия: 1.0.1.5, времеви печат: 0x5123e06c Код на изключение: 0xc0000005Отместване на грешка: 0x0000000000015e99Идентификатор на процес с грешка: 0x7360Начално време на приложението с грешка: 0x01cf14633bd64727Път на приложението с грешка: C:\Apache24 \bin\httpd.exeГрешен път на модула: C:\Apache24\bin\SSLEAY32.dllReport Id : b159de2a-8056-11e3-91ac-005056934851" Код: Име на неизправно приложение: httpd.exe, версия: 2.4.4.0, времево клеймо: 0x5127dda0Име на неизправен модул: ntdll.dll, версия: 6.1.7601.18247, времево клеймо: 0x521eaf24 Код на изключение: 0xc0000374Отместване на грешка: 0x00000000000c4102Идентификатор на процес с грешка: 0x6bac Начален час на приложението с грешка: 0x01cf1462efff97ebПът на приложението с грешка: C:\Apache24\bin\httpd.exe Път на модул с грешка: C:\Windows\SYSTEM32\ntdll.dllОтчет I d: 7b2f4f2f-8056-11e3-91ac-005056934851 Steffen написа: Имате ли във вашия httpd.conf:AcceptFilter http none AcceptFilter https none EnableSendfile off EnableMMAP offYes. Вярвам, че първото нещо, което бих направил, е да надстроя до версия 2.4.7. Обратно към върха SteffenModeratorПрисъединил се: 15 октомври 2005 г. Публикации: 2873 Местоположение: Hilversum , NL, EUПубликувано: понеделник, 20 януари '14, 14:34 Тема на публикацията: Да, първо надстройте до 2.4.7, доста корекции също в областта на бавната/лошата връзка. Обратно към върхаjrauteПрисъединил се: 13 септември 2013 г. Публикации: 188Местоположение: Рейнланд, ГерманияПубликувано: Пон, 20 януари '14 18:29 Тема на публикацията: Qmpeltaty написа: jraute написа: Сложен уеб сайт ли е? Какво имате предвид под сложен уеб сайт? Мислех за уеб страници с множество елементи, скриптове и динамично съдържание. Това може да е проблематично. Между другото внедрихте ли mod_deflate? Обратно към началото Qmpeltaty Присъедини се: 06 февруари 2008 г. Публикации: 182 Местоположение: Полша Публикувано: вторник, 21 януари '14 12:11 Тема на публикацията: jraute написа: Qmpeltaty написа: jraute написа: Сложен уеб сайт ли е? Какво имате предвид под сложен уеб сайт? Мислех за уеб страници с множество елементи, скриптове и динамично съдържание. Това може да е проблематично. Между другото внедрихте ли mod_deflate? В този смисъл - Да, моите сайтове са сложни. По-голямата част от съдържанието се обслужва от сървър на приложения JBoss, управляван от този екземпляр apache, с който имам проблем - чрез модул mod_jk. Относно mod_deflate - реализиран е. Deflate.conf : Код:SetOutputFilter DEFLATE SetEnvIfNoCase Request_URI \.(?:gif|jpe?g|png)$ no-gzip dont-vary SetEnvIfNoCase Request_URI \.(?:exe|t?gz|zip|bz2|sit|rar )$ no-gzip dont-vary SetEnvIfNoCase Request_URI \.pdf$ no-gzip dont-vary #AddOutputFilterByType DEFLATE text/css application/javascriptAddOutputFilterByType DEFLATE text/html text/plain text/xml text/css text/javascript application/javascriptBrowserMatch ^Mozilla /4 gzip-only-text/htmlBrowserMatch ^Mozilla/4\.0[678] no-gzipBrowserMatch \bMSI[E] !no-gzip !gzip-only-text/htmlDeflateCompressionLevel 9DeflateFilterNote Input input_info DeflateFilterNote Output output_info DeflateFilterNote Ratio ratio_info Назад към topjraute Присъединил се: 13 септември 2013 г. Публикации: 188 Местоположение: Рейнланд, Германия Публикувано: вторник, 21 януари '14, 15:35 Тема на публикацията: Надграждането със сигурност е добро нещо. Последна идея: измервали ли сте производителността чрез https към проста html страница на вашия сървър? Ако тази скорост е почти същата като при http, тогава вашият оформление/конфигурация на страницата е проблемът. (Спомням си един човек, който анализира скоростта на страницата и започна със сайт с 12 секунди време за зареждане. след няколко подобрения главно в дизайна на страницата, същото съдържание се зареди за 1,3 секунди.) ако дори и с проста html страница е същият проблем, тогава трябва да опитате да анализирате мрежовия трафик и какво правят tcp пакетите.[режим на шега на ] NSA се нуждае от известно време, за да декриптира ssl сесията [joke mode off]Обратно към началотоQmpeltatyПрисъединил се: 06 февруари 2008 г. Публикации: 182Местоположение: Полша Публикувано: сряда, 22 януари '14, 15:15 Тема на публикацията: jraute написа: Надграждането със сигурност е добро нещо. Последно идея: Измерили ли сте производителността чрез https към проста html страница на вашия сървър? Моята система за наблюдение проверява времето за връзка с проста html страница - когато https работи бавно, http работи добре. Обратно към topjrauteПрисъединил се: 13 септември 2013 г. Публикации: 188 Местоположение : Рейнланд, Германия Публикувано: сряда, 22 януари '14 22:13 Тема на публикацията: Добре, има сайт за тестване на уеб страници, който анализира какво се случва, докато зарежда страницата. http://www.webpagetest.orgМоже би ще ви помогне да идентифицирате частта от процес на зареждане, който струва по-голямата част от времето.(Просто щракнете върху изгледа на водопада) След това ще бъде малко по-лесно да се намери решение, въпреки че не съм сигурен дали ще има решение. Последно редактирано от jraute на петък, 24 януари '14 10:54; редактиран общо 1 път Обратно към началотоJames BlondModeratorПрисъединил се: 19 януари 2006 г. Публикации: 6998Местоположение: Германия, До ХамбургОбратно към началотоQmpeltatyПрисъединил се: 06 февруари 2008 г. Публикации: 182Местоположение: Полша Публикувано: петък, 24 януари '14, 14:33 Тема на публикацията: Неуспешна оценка: Не може да се свърже към сървър Назад към topjraute Присъединил се: 13 септември 2013 г. Публикации: 188 Местоположение: Рейнланд, Германия Публикувано: петък, 24 януари '14 15:11 Тема на публикацията: Добре, благодаря, че се върнахте и споделихте резултата. Ако оценката е неуспешна, това означава, че ръкостискането не е проработило. Може да има няколко причини за това поведение: Време за изчакване, блокиране на скриптове, защитна стена, неизвестни разширения, грешен ред за пакети за шифроване. Моля, проверете това: http://sourceforge.net/mailarchive/message.php?msg_id=31805015 И може би проблемът може лесно да бъде решен чрез дефиниране на работеща комбинация от ssl шифри.GreetsJRBback to topQmpeltatyПрисъединил се: 06 февруари 2008 г. Публикации: 182Местоположение: Полша Публикувано: петък, 24 януари '14 15:27 Тема на публикацията: Както казах, този сървър се намира в Африка, където качеството на връзката е доста лошо, но http работи през цялото време. Apache току-що беше надстроен до 2.4.7 и това не помогна. Обратно към topjraute Присъединил се: 13 септември 2013 г. Публикации: 188 Местоположение: Рейнланд, Германия Публикувано: събота, 25 януари '14 1:21 Тема на публикацията: Още идеи: 1. имате ли rdp връзка към вашия сървър? След това можете да тествате https://127.0.0.1/... и да видите дали това работи.2. ако е възможно, опитайте да тествате с пакети за шифри от клас "среден".3. проверете дали ключовете и ca-файлът работят. Обратно към началотоQmpeltatyПрисъединил се: 06 февруари 2008 г. Публикации: 182 Местоположение: Полша Публикувано: пн, 27 януари '14, 18:04 Тема на публикацията: jraute написа: Още идеи:1. имате ли rdp връзка към вашия сървър? Тогава можете да тествате https://127.0.0.1/... и да видите дали това работи. Направих го, също не работи локално.jraute написа:2. ако е възможно, опитайте да тествате с пакети за шифроване от "среден" клас. Как да направя това? Трябва ли да премахна HIGH шифрите от ssl.conf? jraute написа:3. проверете дали ключовете и ca-файлът работят. Как да го проверя? Обратно към topjraute Присъединил се: 13 септември 2013 г. Публикации: 188 Местоположение: Рейнланд, Германия Публикувано: пн, 27 януари '14, 18:56 Тема на публикацията: Добре, обратно към началото с ssl. актуализацията до 2.4.7 може да е полезно да погледнете вашия лог-файл, когато Apache стартира. Все още ли е ssleay-грешката? Може би трябва да разгледаме и това. За тест можете да опитате да премахнете "високата" дефиниция за SSLCipherSuite и да коментирате SSLCertificateChainFile. Тогава ще получите комбинация ключ-файл на сертификат, която не може да бъде проверена срещу ca-верига но за тестване на кого му пука - понякога е добре да започнете възможно най-просто. (в този случай в браузър ще трябва да приемете, че ключът не е подписан от доверен ca и да продължите ...) Ако не сте сигурни ако сертификатът работи, можете да изградите такъв сами с openssl. (просто попитайте за как, ако е необходимо) за теста опитайте да започнете с по-малки ключове, защото ключове с повече от 1024 бита в комбинация с някои комплекти за шифроване могат да причинят забавяне.GreetsJRL Последно редактирано от jraute на понеделник, 27 януари '14, 19:08 ;