• Digitální příslušenství
  • Server
  • Digitální život
  • Zásady ochrany osobních údajů
  • Kontaktujte nás
  1. Domov
  2. Článek
  3. Apache :: HTTPS je velmi pomalé nebo neodpovídá

Apache :: HTTPS je velmi pomalé nebo neodpovídá

Rsdaa 05/01/2022 1847
Autor QmpeltatyPřipojen: 06. února 2008 Příspěvky: 182Umístění: Polsko Odesláno: pá 17. ledna '14 15:38 Předmět příspěvku: HTTPS velmi pomalé nebo neodpovídá Mám problém s pomalým Apache 2.4.4. Souvisí to pouze s https, které je obecně 5krát pomalejší než stejný web přes http. Tento rozdíl vidím na monitorovacím softwaru, který měří dobu odezvy na http a https každých 5 sekund. V některých případech jsem měl dokonce timeouty v prohlížeči na https, zatímco ve stejnou dobu se stránka otevírá přes http - pomalu, ale otevírá se vždy. Apache běží na Win2k8 Enterprise, verze 2.4.4 x64 - VC10. Server je propojen s poměrně špatným internetovým připojením, protože se nachází v Africe. Navzdory kvalitě připojení http funguje po celou dobu správně.Zpět na začátekjrautePřipojeno: 13. září 2013Příspěvků: 188Místo: Rheinland, NěmeckoUloženo: pá 17. ledna '14 18:31Předmět příspěvku: Můžete nám říci něco o své konfiguraci (httpd) a ssl implementace?Například šifrovací sady včetně "dh-keys" s více než 2048 bity nějakou dobu zaberou.A pro systémy Windows existují některé parametry, které pomáhají zlepšit výkon.GreetsJRBack to topQmpeltatyPřipojeno: 6. února 2008 Příspěvky: 182Umístění: PolskoUveřejněno: So 18. ledna '14 17: 31Post Předmět: SSL.CONF: Kód: Poslouchejte 192.168.1.65:443 HttpsAddtype Application/X-X509-CA-CERT .Crtaddtype Aplikace/x-pkcs7-crl.crlsslpasSpHraselidSlsessission "C:/apache24/logs24/logs2444444/logs ssl_scache(512000)"SSLSessionCacheTimeout300Mutex defaultDocumentRoot "C:/Apache24/htdocs"ServerName mydomain.comServerAlias ​​www.mydomain.comServerAlias ​​other_mydomain.comServerAlias ​​www.another_mydomain.com/Alias ​​serveru www.another_mydomain.com/Process VŠECHNY +SSLv3 +TLSv1SSLCipherSuite VŠECHNY :!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUMSSLCertificateFile "conf/ssl/server.crt"SSLCertificateKeyFile "conf/ssl/server.key"SSLCertificateChainsoubor "conf/s ca_bundle.crt"SSLOptions +StdEnvVarsSSLOptions +StdEnvVarsBrowserMatch ".*MSIE.*" \ nokeepalive ssl-unclean-shutdown \ downgrade-1.0 force-response-1.0Zpět na začátekjrauteJoined: 2013P Rhep : sobota 18. ledna 14 21:10 Předmět příspěvku: Dobře. Jak jste změřili rozdíl? Je to složitá webová stránka? Jaký používáte prohlížeč? (pokud je to možné, otestujte pls s firefoxem). Váš ssl.conf vypadá dobře, i když bych změnil kód: BrowserMatch ".*MSIE.*" nokeepalive ssl-unclean-shutdown downgrade-1.0 force-response-1.0Novější MSIE by neměly mít jakékoli problémy s opětovným vyjednáváním ssl:Proto bych zkusil: Kód:BrowserMatch "MSIE [2-5]" nokeepalive ssl-unclean-shutdown downgrade-1.0 force-response-1.0BrowserMatch "MSIE [16-9]" ssl-unclean-shutdown Kromě toho to vše bych se chtěl zeptat, jestli má server nainstalovaný více než jeden nic a pokud ano, jak je nakonfigurováno vázání, protože pro konfiguraci vhost používáte vyhrazenou ip. někdy je problém s vazbou. Nakonec zkontrolujte firewall, zda je server umístěn v dmz. Naposledy upravil jraute v Po 27 Jan '14 17:36; upraveno celkem 1krátZpět na začátekQmpeltatyPřipojeno: 6. února 2008Příspěvků: 182Místo: PolskoUloženo: Po 20. ledna '14 9:48Předmět příspěvku: jraute napsal:Ok. Jak jste změřili rozdíl? Mám monitorovací systém, který neustále kontroluje připojení k http i https. Dostávám upozornění pouze pro https. jraute napsal: Je to složitá webová stránka? Co myslíte složitou webovou stránkou? jraute napsal:Jaký používáš prohlížeč? (pokud možno otestujte pls s firefoxem). Zkontrolováno také ve FF - také nefunguje. jraute napsal:Váš ssl.conf vypadá dobře, i když bych změnil BrowserMatch ".*MSIE.*" \ nokeepalive ssl-unclean-shutdown \ downgrade-1.0 force-response-1.0Novější MSIE by neměly mít žádné problémy s opětovným vyjednáváním ssl :Proto bych zkusil:BrowserMatch "MSIE [2-5]" nokeepalive ssl-unclean-shutdown \downgrade-1.0 force-response-1.0BrowserMatch "MSIE [16-9]" ssl-unclean-shutdownDíky, zvážím tuto změnu . jraute napsal: Kromě toho všeho bych se chtěl zeptat, zda má server nainstalovaných více než jeden nic a pokud ano, jak je nakonfigurováno vázání, protože pro konfiguraci vhost používáte vyhrazenou ip. Někdy je problém s vazbou. Jedná se o virtuální stroj s jedním virtuálním nic. Mám nakonfigurovaných několik IP privátních sítí, Apache běží na určité IP, nesdílené s žádnými jinými službami.jraute napsal:konečně zkontrolujte firewall, jestli je server umístěn v dmz. Konfigurace firewallu se nezměnila déle než rok. Zajímalo by mě, jestli je připojení https mnohem více „potřebných zdrojů“ než http, pokud vyžaduje stabilnější připojení k internetu, více zdrojů serveru atd. - na straně serveru? Jak už jsem zmínil server se nachází v Africe, s dost nekvalitním připojením - zajímalo by mě, jestli to může mít vliv. Na druhou stranu http funguje pořád bez problémů.Zpět na začátekSteffenModeratorPřidán: 15. října 2005Příspěvků: 2873Místo: Hilversum, NL,EUPosted: Po 20. leden '14 13:07Předmět příspěvku: Jsou nějaké indikace v Apache error.log a/nebo v prohlížeči událostí Windows? : 06. února 2008 Příspěvky: 182Umístění: Polsko Odesláno: Po 20. ledna '14 14:18 Předmět příspěvku: Steffen napsal: Jsou nějaké náznaky v Apache error.log a/nebo v prohlížeči událostí Windows? Protokol chyb je jasný. V prohlížeči událostí jsem našel dvě chyby, obě se zobrazují pouze při restartu Apache: Kód:"Název chybující aplikace: httpd.exe, verze: 2.4.4.0, časové razítko: 0x5127dda0Název chybujícího modulu: SSLEAY32.dll, verze: 1.0.1.5, časové razítko: 0x5123e06cKód výjimky: 0xc0000005Posun chyby: 0x0000000000015e99Id chybujícího procesu: 0x7360Čas spuštění chybující aplikace: 0x01cf4bin\\/ache33bd6\\\Acheapaulting applicationpath Cesta k exeFaulting modulu: C:\Apache24\bin\SSLEAY32.dll ID sestavy : b159de2a-8056-11e3-91ac-005056934851" Kód: Název chybující aplikace: httpd.exe, verze: 2.4.4.0, časové razítko: 0x5127dda0Název chybujícího modulu: ntdll.dll, verze: 6.4x1.521747:2. 0xc0000374Posun chyb: 0x00000000000c4102ID chybujícího procesu: 0x6bac Čas spuštění chybující aplikace: 0x01cf1462efff97ebCesta chybující aplikace: C:\Apache24\bin\httpd.exe:Chyba systému Windows22:dll: CRe:2Faulting module:dll. f2f-8056-11e3-91ac-005056934851 Steffen napsal:Máte ve svém httpd.conf:AcceptFilter http žádný AcceptFilter https žádný EnableSendfile vypnutý EnableMMAP vypnutýAno. Věřím, že první věc, kterou bych udělal, je upgradovat na verzi 2.4.7. , NL, EUPosted: Po 20 Jan '14 14:34Předmět příspěvku:Ano, upgradujte nejprve na 2.4.7, několik oprav také v oblasti pomalého/špatného připojení.Zpět na začátekjrautePřipojeno: 13. září 2013Příspěvky: 188Umístění: Rheinland, GermanyPosted Po 20. ledna '14 18:29Předmět příspěvku: Qmpeltaty napsal: jraute napsal:Je to složitá webová stránka?Co myslíš tím složitým webem?Přemýšlel jsem o webových stránkách s více prvky, skripty a dynamickým obsahem. To může být problematické. Btw implementovali jste mod_deflate? Zpět na začátekQmpeltatyPřipojeno: 6. února 2008Příspěvky: 182Umístění: PolskoVloženo: út 21. ledna '14 12:11Předmět příspěvku: jraute napsal: Qmpeltaty napsal: jsraute web? Co myslíte složitým webem? Myslel jsem na webové stránky s více prvky, skripty a dynamickým obsahem. To může být problematické. Btw implementovali jste mod_deflát? V tomto smyslu - Ano, moje stránky jsou složité. Většinu obsahu obsluhuje aplikační server JBoss, na jehož čele stojí tato instance apache, se kterou mám problém - prostřednictvím modulu mod_jk. Pokud jde o mod_deflate - je implementován. Deflate.conf : Code:SetOutputFilter DEFLATE SetEnvIfNoCase Request_URI \.(?:gif|jpe?g|png)$ no-gzip dont-vary SetEnvIfNoCase Request_URI \.(?:exe|t?gz|zip|bz2|sit|rar )$ no-gzip dont-vary SetEnvIfNoCase Request_URI \.pdf$ no-gzip dont-vary #AddOutputFilterByType DEFLATE text/css application/javascriptAddOutputFilterByType DEFLATE text/html text/prostý text/xmlscript^aplikaceMozillaMatext/javtchaptcha application/MozillaMa text/javascript /4 gzip-only-text/htmlBrowserMatch ^Mozilla/4\.0[678] no-gzipBrowserMatch \bMSI[E] !no-gzip !gzip-only-text/htmlDeflateCompressionLevel 9DeflateFilterNote Vstupní vstupní_info Poměr filtru Deflatio_info ZpětNote Výstup topjrautePřipojeno: 13. září 2013Příspěvků: 188Místo: Rheinland, Německo Publikováno: Út 21. ledna '14 15:35Předmět příspěvku: Upgrade je určitě dobrá věc. Poslední nápad: Měřili jste výkon přes https na jednoduchou html stránku na vašem serveru? že rychlost je téměř stejná jako u http, pak je problémem vaše rozvržení/konfigurace stránky. (Pamatuji si člověka, který analyzoval rychlost stránky a začal s webem, který měl načítání 12 sekund. po několika vylepšeních hlavně v designu stránky se stejný obsah načetl za 1,3 sekundy.) pokud je i u jednoduché html stránky stejný problém, měli byste zkusit analyzovat síťový provoz a co dělají tcp balíčky.[joke mode on ] nsa potřebuje nějaký čas na dešifrování ssl relace [režim vtipu vypnutý]Zpět na začátekQmpeltatyPřipojeno: 6. února 2008 Příspěvky: 182Umístění: Polsko Odesláno: St 22. ledna '14 15:15Předmět příspěvku: jraute napsal: Upgrade je určitě dobrá věc. nápad: Měřili jste výkon přes https na jednoduchou html stránku na vašem serveru? Můj monitorovací systém kontroluje dobu připojení k jednoduché html stránce – když https funguje pomalu, http funguje dobře. : Rheinland, Německo Odesláno: st 22. ledna '14 22:13Předmět příspěvku:Dobře, existuje webpagetest, který analyzuje, co se děje při načítání stránky.http://www.webpagetest.orgMožná vám pomůže identifikovat část stránky proces načítání, který stojí většinu času.(Stačí kliknout na zobrazení vodopádu) Poté bude o něco snazší najít řešení, i když si nejsem jistý, zda řešení bude. Naposledy upravil jraute v pátek 24. ledna '14 10:54; upraveno celkem 1krátZpět na začátekJames BlondModeratorPřidán: 19. ledna 2006Příspěvků: 6998Umístění: Německo, Vedle HamburkuZpět na začátekQmpeltatyPřipojeno: 6. února 2008 Příspěvků: 182Umístění: PolskoPřidáno: Pá 24. ledna 34. ledna: Předmět: Ne 14. 3. 34. ledna na serveru: Unable ck to topjrautePřipojeno: 13. září 2013Příspěvků: 188Místo: Rheinland, Německo Publikováno: pá 24. ledna '14 15:11Předmět příspěvku: Dobře, děkujeme, že se vracíte a sdílíte výsledek. Pokud hodnocení selže, znamená to, že podání ruky nefungovalo. Toto chování může mít několik důvodů: časový limit, blokující skripty, firewall, neznámá rozšíření, špatné pořadí šifrovacích sad.pls zkontrolujte toto: http://sourceforge.net/mailarchive/message.php?msg_id=31805015A možná problém lze snadno vyřešit definováním funkční kombinace šifrovací sady ssl.GreetsJRBack to topQmpeltatyPřipojeno: 6. února 2008 Příspěvky: 182Umístění: PolskoPosláno: pá 24. ledna '14 15:27 Předmět příspěvku: Jak jsem řekl, tento server se nachází v Africe, kde se kvalita připojení nachází špatné, ale http funguje neustále. Apache byl právě upgradován na 2.4.7 a nepomohlo to.Zpět na začátekjrautePřipojeno: 13. září 2013Příspěvků: 188Místo: Rheinland, NěmeckoUloženo: so 25. ledna '14 1:21Předmět příspěvku:Nějaké další nápady:1. máš rdp připojení k serveru? Pak bys mohl otestovat https://127.0.0.1/... a podívat se, jestli to funguje.2. pokud je to možné, zkuste testovat se šifrovacími sadami třídy "střední".3. zkontrolujte, zda klíče a soubor ca fungují.Zpět na začátekQmpeltatyPřipojeno: 6. února 2008Příspěvky: 182Místo: PolskoUloženo: Po 27. ledna '14 18:04Předmět příspěvku: jraute napsal:Nějaké další nápady:1. máš rdp připojení k serveru? Pak bys mohl otestovat https://127.0.0.1/... a podívat se, jestli to funguje.Já ano, nefunguje to ani lokálně.jraute napsal:2. pokud je to možné, zkuste test s šifrovacími sadami "střední" třídy. Jak to mám udělat? Mám odstranit HIGH šifry ze ssl.conf? jraute napsal:3. zkontrolujte, zda klíče a soubor ca fungují.Jak to zkontrolovat ?Zpět na začátekjrautePřipojeno: 13. září 2013Příspěvků: 188Místo: Rheinland, NěmeckoVloženo: Po 27. ledna '14 18:56Předmět příspěvku:Ok, zpět na začátek s ssl.After aktualizaci na 2.4.7 by mohlo být užitečné podívat se na váš log-soubor při spuštění apache. Je tam stále chyba ssleay? Možná bychom se na to měli také podívat. Pro test byste se mohli pokusit odstranit "vysokou" definici pro SSLCipherSuite a okomentovat SSLCertificateChainFile. Pak byste získali kombinaci klíče a souboru certifikátu, kterou nelze ověřit proti řetězci ca ale pro testování koho to zajímá - někdy je dobré začít co nejjednodušeji.(v tomto případě v prohlížeči byste se museli smířit s tím, že klíč není podepsán důvěryhodnou ca a pokračovat ...)Pokud si nejste jisti Pokud certifikát funguje, můžete si jej vytvořit sami pomocí openssl. (pouze se zeptejte na návod, je-li třeba)pro test zkuste začít s menšími klíči, protože klíče s více než 1024 bity v kombinaci s některými šifrovacími sadami mohou způsobit zpoždění. ;


PREV: Co je virtualizace? - IONOS

NEXT: Jak opravíte server se zadaným názvem hostitele nemohl ...

Populární články

Žhavé články
Zpět na začátek