Debian Nginx SSL如何提高网站性能

Debian 上 Nginx SSL 性能优化实操指南

一 基础与协议栈优化

• 证书与权限：使用 Let’s Encrypt 的 fullchain.pem 与 privkey.pem，确保证书链完整；私钥权限设为 600，属主 root:root，避免因链不全或权限不当导致握手失败与性能隐患。
• 协议与套件：仅启用 TLSv1.2/TLSv1.3；优先 ECDHE + AES‑GCM/CHACHA20；椭圆曲线优先 X25519（更快握手），必要时补充 secp384r1。TLS1.3 下套件优先级被忽略，可省略 prefer_server_ciphers。
• 会话复用：开启共享会话缓存（如 50m）与合理超时（如 10m），显著降低全握手比例；生产环境建议默认关闭 Session Tickets 以避免跨节点票据复用风险。
• OCSP Stapling：开启并验证装订，使用可靠 DNS 解析器（如 8.8.8.8/1.1.1.1），将 OCSP 响应随握手下发，减少客户端在线校验时延。
• HTTP/2 与 HTTP/3：启用 HTTP/2 提升多路复用与头部压缩；如 Nginx 编译包含 QUIC 模块，可叠加 HTTP/3（UDP/443），并通过 Alt‑Svc 头引导客户端使用。
• 传输与压缩：开启 Gzip（级别 6、开启 Vary），静态资源设置强缓存（如 Cache‑Control: public, max‑age=2592000），减少重复传输与握手次数。

二 可直接使用的配置片段

# /etc/nginx/sites-available/your_domain.conf
server {
    listen 443 ssl http2;
    # 如已编译支持 QUIC，可再加：listen 443 quic reuseport;
    server_name your.domain.com;

    ssl_certificate     /etc/nginx/ssl/fullchain.pem;
    ssl_certificate_key /etc/nginx/ssl/privkey.pem;
    ssl_trusted_certificate /etc/nginx/ssl/chain.pem;  # 用于 OCSP 验证

    # 协议与曲线
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ecdh_curve X25519:secp384r1;

    # 仅保留现代 AEAD 套件（TLS1.3 忽略优先级）
    ssl_ciphers 'ECDHE+AESGCM:ECDHE+CHACHA20:!aNULL:!MD5:!DES:!3DES';

    # 会话复用
    ssl_session_cache shared:SSL:50m;
    ssl_session_timeout 10m;
    ssl_session_tickets off;  # 生产默认关闭

    # OCSP Stapling
    ssl_stapling on;
    ssl_stapling_verify on;
    resolver 8.8.8.8 1.1.1.1 valid=300s;
    resolver_timeout 5s;

    # 安全与性能头
    add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
    add_header X-Content-Type-Options "nosniff" always;
    add_header X-Frame-Options "SAMEORIGIN" always;
    add_header Referrer-Policy "strict-origin-when-cross-origin" always;

    # 可选：启用 HTTP/3
    # add_header Alt-Svc 'h3=":443"; ma=86400' always;

    # 静态资源强缓存
    location ~* \.(jpg|jpeg|png|gif|ico|css|js)$ {
        expires 30d;
        add_header Cache-Control "public, no-transform";
    }

    location / {
        root /usr/share/nginx/html;
        index index.html;
    }
}

# 80 → 443 强制跳转
server {
    listen 80;
    server_name your.domain.com;
    return 301 https://$host$request_uri;
}

• 若使用 Certbot，证书路径通常为 /etc/letsencrypt/live/your.domain.com/fullchain.pem 与 privkey.pem；也可将证书统一放到 /etc/nginx/ssl/ 并按上例配置。

三 系统与网络层调优

• 进程与连接：在 /etc/nginx/nginx.conf 中设置 worker_processes auto;，events { worker_connections 1024; }，匹配 CPU 与并发目标。
• 长连接与传输：在 http 块启用 sendfile on; tcp_nopush on; tcp_nodelay on;，并设置 keepalive_timeout 65; keepalive_requests 1000;，提升连接复用与传输效率。
• TCP/内核参数（/etc/sysctl.conf）：
  • net.core.somaxconn = 65535
  • net.ipv4.tcp_max_syn_backlog = 65535
  • net.ipv4.ip_local_port_range = 1024 65535
  • net.ipv4.tcp_tw_reuse = 1
  • net.ipv4.tcp_fin_timeout = 30
    应用：执行 sysctl -p。
• 文件描述符限制（/etc/security/limits.conf）：
  • • soft nofile 65535
  • • hard nofile 65535

四 验证与上线流程

• 语法与平滑上线：
  • 检查：nginx -t
  • 上线：systemctl reload nginx（不中断现有连接）
• 功能与性能验证：
  • HTTP/2：curl -I --http2 https://your.domain.com
  • 协议/套件/握手：openssl s_client -connect your.domain.com:443 -tls1_2 </dev/null（观察握手与证书链）
  • OCSP 装订：检查响应状态 “OCSP Response Status: successful”
• 观测指标：关注 握手时延、会话复用率、4xx/5xx 振幅、OCSP 命中率，作为后续调优依据。

五 进阶与注意事项

• 压缩策略：若环境支持，可启用 Brotli（需编译模块），通常较 Gzip 有更好的压缩比与性能表现。
• 0‑RTT：TLS1.3 的 early_data 可降低首包时延，但存在重放风险；仅对幂等接口启用。
• 硬件加速：具备 QAT 等硬件时，可通过 OpenSSL 引擎与相应模块进行 SSL 加速。
• 证书与续期：确保使用 fullchain.pem，定期执行 certbot renew --dry-run 验证自动续期；变更前务必 nginx -t 与灰度/回滚预案。