Сайт висит при первом заходе на него. Как такое исправить?

Question

[Вячеслав Грачунов]

Возникла проблема, которую никак не пойму как исправить. Есть сайт на российском VPS. Работало все нормально. В один день с новых браузеров, с которых еще не заходили на этот сайт , он стал виснуть на время более минуты и только потом отображаться (либо вообще не отображаться, а выдавать Empty Response или Connection Closed). После того как один раз зашли работает стабильно с текущего браузера. Не понимаю вообще в чем дело. При этом если я отключаю HTTPS, то грузится нормально. Сайт на Django. Что пробовал: отключение различных js на сайте, замена gunicorn на uWSGI, замена сертификата на другой. Ничего не помогает. Подскажите в чем может быть проблема?
Конфиг Nginx:

server {
    server_name mydomain server_ip;
    

    location = /favicon.ico { 

        access_log off; log_not_found off; 

    }
    
    location /static/ {
        root /opt/myproject/name;
    }

    location / {
        include uwsgi_params;
        uwsgi_pass 127.0.0.1:8000;
    }

    listen 443 ssl; # managed by Certbot
    ssl_certificate /etc/letsencrypt/live/mydomain/fullchain.pem; # managed by Certbot
    ssl_certificate_key /etc/letsencrypt/live/mydomain/privkey.pem; # managed by Certbot
    include /etc/letsencrypt/options-ssl-nginx.conf; # managed by Certbot
    ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem; # managed by Certbot

}
server {
    if ($host = mydomain) {
        return 301 https://$host$request_uri;
    } # managed by Certbot


    listen 80;
    server_name mydomain server_ip;
    return 404; # managed by Certbot


}

Еще в логах nginx такое:

2026/05/19 23:53:43 [crit] 69936#69936: *45 SSL_do_handshake() failed (SSL: error:0A00006C:SSL routines::bad key share) while SSL handshaking, client: 34.96.60.148, server: 0.0.0.0:443

Comments

[SunTechnik]

Для начала надо понять чего ждём.
Проверить wget или curl нормально ли открывают первую страницу или нет.
Ну и в панели разработчика посмотреть что именно долго грузится.

Может у Вас включены метрики с какого-нибудь полудохлого сайта или много тяжёлых картинок, а потом они отдают я из кэша...

Ещё вариант, что в настройках vps указан дохлый dns сервер и nginx пытается разрешить ip адрес клиента, что бы его в лог записать..

[Вячеслав Грачунов]

SunTechnik, еще в логах nginx такое:

2026/05/19 23:53:43 [crit] 69936#69936: *45 SSL_do_handshake() failed (SSL: error:0A00006C:SSL routines::bad key share) while SSL handshaking, client: 34.96.60.148, server: 0.0.0.0:443

[Вячеслав Грачунов]

SunTechnik, метрики от яндекс.метрики и вк рекламы

[Вячеслав Грачунов]

SunTechnik, dns-серверы:

cat /etc/resolv.conf
options timeout:1 attempts:1
nameserver 46.254.22.138
nameserver 46.254.23.138
nameserver 1.1.1.1
nameserver 1.0.0.1

[SunTechnik]

Вячеслав Грачунов, Вам по конфигу никто не скажет где проблема (ну, если только случайно угадает).

Но зачем на сервере указывать dns сервера cloudflare — у меня бы вызвало вопросы. Проверить их доступность с сервера можете только Вы.

Надо понять, что происходит в момент проблемы. Для этого её надо воспроизвести со снятием метрик.

Если хотите решить вопрос правками конфигов не вникая, попробуйте отключить в nginx запись в лог имён хостов, кто подключался.

log_format main '$remote_addr - $remote_user [$time_local] '
                    '"$request" $status $body_bytes_sent '
                    '"$http_referer" "$http_user_agent"';

Про ошибку SSL — это Ваш IP или какой-то случайный? Если случайный - то это сканер чей-то нормально ssl подключение не делает...

Answer 1

[Пума Тайланд]

падает на TLS-handshake ещё до Django — до приложения запрос просто не доходит. Chrome 124+ при первом визите пробует post-quantum key share (X25519Kyber768Draft00), твой OpenSSL это не понимает — отсюда bad key share и зависание. Со второго раза браузер уже запоминает что PQ не тянешь и не пробует.

Добавь в server-блок nginx: ssl_ecdh_curve X25519:prime256v1:secp384r1; и nginx -t && systemctl reload nginx

Comments

[Вячеслав Грачунов]

Это означает, что лучше обновить ОС на впске? Там Ubuntu 22.04.4
ssl_ecdh_curve X25519:prime256v1:secp384r1; добавил, что-то не помогает

[Пума Тайланд]

ssl_ecdh_curve только для TLS 1.2 — для 1.3 добавь в server-блок: ssl_conf_command Groups X25519:P-256:P-384; и reload nginx.

[Вячеслав Грачунов]

nginx: [emerg] unknown directive "ssl_conf_command"

[Пума Тайланд]

Вячеслав Грачунов, обнови нгинкс до последней версии 1.31

Answer 2

[rPman]

У меня такое было на ростелекоме, с любыми сайтами, хоть nalog.ru, в очень случайное время (примерно раз в 2-3 часа), со случайным сайтом (если долго на него не заходить). Если повторить запрос, то через примерно секунду чинится.

'Починилось' при указании DNS от провайдера (не 8.8.8.8!), точнее глюков стало сильно меньше/реже (это странее всего). Что очень сильно усложняет настройку, если нужен одновременно и vpn и роутинг в российские сети.

У меня есть теория, их вундервафля собирает информацию от провайдерского dns, и переключает работоспособность сайта (скорее всего это глюк их алгоритма), в зависимости от того, когда был запрос к локальному dns

Answer 3

[Вячеслав Грачунов]

Яхз, может и костыль, но работает. Тут обратил внимание, что почему-то версия с www нормально грузится. Сделал в nginx редиректы на www.sitename.domain и все пашет. Что это и почему так - не понимаю. Еще на всякий случай пересадил сайт на отдельный ip, а то у меня на сервере и сайт и VLESS с редиректом дальше зарубеж