При включении SSL в nginx упала скорость скачивания в 6 раз при свободном канале, а без ssl все порядке?

Question

[ZoriN89]

Такая вот досада.

Стоит сервер с UBUNTU + Nginx, поставил сегодня сертификат от Let's encrypt и вот что заметил если обычно я мог качать на скорость 10- 12мб после включения ssl nginx отдает файл максимум на скорости 200кб/c .

Беда произошла именно из-за ssl так как я открыл на другом порту простой 80 порт без ssl и через него все на ура выдало максимальные скорости, в чем может быть проблема?

server {
        listen 443 ssl;

        root /var/www/html/files/;
        index index.html index.htm index.nginx-debian.html;
        ssl_certificate /etc/nginx/cert/cert1.pem;
        ssl_certificate_key  /etc/nginx/cert/privkey1.pem;
        server_name filesrv.me;

        location / {
                access_log off;
                mp4;
                mp4_buffer_size 10M; #2
                mp4_max_buffer_size 20M; #4
                access_log off;
                expires max;
                aio off;
                directio 512; 
                output_buffers 1 2M;
                sendfile on;
                tcp_nopush on;
                tcp_nodelay on;
                tcp_nodelay on;
                add_header Cache-Control public;
                open_file_cache max=1000 inactive=900s;
                open_file_cache_valid 360s;
                open_file_cache_min_uses 2;
                open_file_cache_errors off;
   }
}

Comments

[WinPooh32]

какой процессор?

[ZoriN89]

WinPooh32, Intel Core i5 4440S

[Александр Маслов]

Не Казахстан случайно? Там из-за кривого DPI часто такое можно встретить )

[Алексей Сундуков]

так как я открыл на другом порту простой 80 порт без ssl и через него все на ура выдало

И конфиги прямо идеинтичные кроме настроек ssl?

[ZoriN89]

Алексей Сундуков, Да, я просто скопировал конфиг и убрал от туда ssl и сразу же скорость скачивания максимально быстрая. При этом в логах чисто, ошибок не появлялось никаких

[ZoriN89]

Александр Маслов, Нет

Answer 1

[angryhost]

Посмотрите вот тут:
https://serverfault.com/questions/666214/slow-down...

Гуглите фразу вроде:
nginx ssl slow download speed

Дополнительно (Взято с Вики):
Другими словами, при увеличении размера секретного ключа может увеличиться случайность шифруемых данных, но не обязательно возрастет сложность вычислений при расшифровке. Однако, шифрование открытым ключом использует ключ как экспоненту, поэтому значительное увеличения ключа сильно увеличивает количество вычислений, требуемых для шифрования / дешифрования данных.

Answer 2

[Dobryelectrik]

Проверь SSL аппаратно или программно проходит. А если из под винды только проблема то может нужно ключ в Винду закинуть, через экспорт .

Comments

[ZoriN89]

Я пробовал, даже проверял ssl через NetScanTools , там указывается что ключ RSA 2048 bits, TLS 1.1 yes, TLS 1.2 yes. Пробовал с другого ПК проблема такая же, причем тоже проверял скачивание через SSL и через простой HTTP ситуация такая же скорость скачивания по HTTPS 320кб/c, скорость скачивания по HTTP 10Мб/c.

[Dobryelectrik]

ZoriN89, я вам тут ссылочку дам там написано как правильно делать и где проверять то, что сделано. www.tldp.org/HOWTO/SSL-Certificates-HOWTO/x246.html

[Neostar1989]

Я с таким сталкивался на старом железе. Дело в том, что ssl предполагает шифрование всего трафика, и если cpu аппаратно не поддерживает шифрование (древний), то обрабатывает все "програмно", в связи с чем неимоверно растет нагрузка на CPU.

Проверь уровень загрузки CPU в момент скачивания по HTTPS. Если он на пределе - ты нашел виновника.

Здесь можешь поступить как я: перекинул весь трафик через Cloudflare по схеме http -> Cloudflare -> https. Пусть шифрование производится на мощных серверах cloudflare, я получаю свободный CPU а пользователь SSL + высокую скорость.

[Dobryelectrik]

Здесь может быть ключ не публичный и автоматом попадает в зону низкого доверия.

[ZoriN89]

Neostar1989,
Не процессор должен поддерживать нормально, к тому же он даже не нагружен особо. Вот Top в час пик
top - 22:30:13 up 20 days, 9:47, 1 user, load average: 1,03, 1,21, 1,18
Tasks: 142 total, 1 running, 85 sleeping, 0 stopped, 0 zombie
%Cpu(s): 5,9 us, 7,1 sy, 0,0 ni, 67,4 id, 12,5 wa, 0,0 hi, 7,0 si, 0,0 st
KiB Mem : 16285420 total, 196972 free, 3751700 used, 12336748 buff/cache
KiB Swap: 2097148 total, 2069844 free, 27304 used. 12189936 avail Mem

[Neostar1989]

ZoriN89, если по какой-то причине все таки сервер по ssl не отдает на желаемой скорости, то передавай через без ssl, а ssl пусть добавляется на выходе через Cloudflare. Так ты точно должен получить хорошую скорость

[ZoriN89]

Neostar1989, К сожалению нельзя использовать эти сервисы, отдавать надо именно со своего сервера, без стороних сервисов

Answer 3

[Neostar1989]

При таком раскладе у меня пользователи могут использовать 1Gbps защищённого трафика, и это при нагрузке на (древнем) CPU в пределах 5% (речь о статике)

Answer 4

[edo1h]

Перестарались с длиной ключа?

Comments

[ZoriN89]

Вообще не менял ничего в плане длины ключа, так что там скорее всего стандартное значение.

[edo1h]

был неправ, длина ключа влияет на начальное рукопожатие, на скорость скачивания многомегабайтного файла она влиять не должна.

Answer 5

[Сергей]

Проверяли, есть ли разница если качать внутри сервера?
Т.е. зайти на сервер и от туда запустить скачивание.
Может не там ищите

Answer 6

[Vitaly Karasik]

В продолжение коммента от Александр Маслов - проверьте скорость из других мест - с помощью https://www.webpagetest.org/ и т.п.
Возможно действительно проблема с вашим локальным провайдером.

Answer 7

[Глюкъ Виртуален]

Что говорит top?

Answer 8

[Евгений Шерман]

Добавьте в конфиг вот эти строки:

ssl_prefer_server_ciphers on;
ssl_session_cache shared:SSL:10m;
ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:ECDHE-RSA-AES128-GCM-SHA256:AES256+EECDH:DHE-RSA-AES128-GCM-SHA256:AES256+EDH:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4";