Nginx 如何优化 WebSocket 连接的 SSL/TLS 握手时间

要优化与 Nginx 的 WebSocket 连接的 SSL/TLS 握手时间，可以采取以下步骤：

启用 TLS 1.3：与之前的版本相比，TLS 1.3 减少了握手次数，并且节省了时间。 确保您的 Nginx 配置支持 TLS 1.3 并在 ssl_protocols 配置项中启用它：

ssl_protocols TLSv1.3;
 

使用 OCSP Stapling：OCSP Stapling 将证书吊销信息传输到 SSL /客户端查询证书所花费的时间证书吊销列表，因为它可以直接嵌入到 TLS 握手过程中。 在 Nginx 设置中启用 OCSP Stapling：

ssl_stapling on;
ssl_stapling_verify on;

密码套件优化：选择性能更好的密码套件以减少握手时间。 例如，如果您使用 ECDHE 密钥交换算法和 AES-GCM 密码套件：

ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE- RSA -AES256 -GCM-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256';

使用会话缓存：启用 SSL 会话缓存可以减少重复连接的握手时间。 在 Nginx 配置中配置会话缓存：

ssl_session_cacheshared:SSL:10m;

调整 TCP 参数：优化 tcp_nolay 和 tcp_keepalive_timeout 等底层 TCP 参数可以提高网络性能并缩短握手时间。 。 在Nginx配置中设置以下参数：

tcp_nolay on;
tcp_keepalive_timeout 60s;

使用 HTTP/2：HTTP/2 支持多路复用。 这允许通过 TCP 连接并行发送多个请求和响应，从而减少握手时间。 确保您的 Nginx 配置支持 HTTP/2 并将 http2 参数添加到 listen 指令中。

监听 443 ssl http2;

Nginx版本升级：Nginx的新版本通常包括性能优化和新功能。 特征。 确保您使用最新版本的 Nginx 以获得最佳 SSL/TLS 握手性能。