물어보기서버관련

1. 우분투14.04/apache 2.4.7/ xe 환경에서 ssl 설치 후 간혹 첫로딩 또는 일부구간에서 로딩시간이 길어지는 증상이 나타나고 있는데요. 혹시 이런 경우 어떤 부분을 살펴봐야 할지 도움 말씀 부탁드리겠습니다.

 

2. 검색 중 https://www.xetown.com/tiptalk/9778 를 발견하고 아래 항목을 적용하고자 합니다. 

 

OCSP Stapling은 님의 인증서가 유효하다는 증명을 미리 받아두어서

사용자가 님의 사이트에 처음 방문할 때 접속 속도를 높여주는 방법입니다.

아파치는 DH Param을 지원하지 않습니다.

아파치 2.4 이상에서는 아래의 설정으로 OCSP Stapling을 적용할 수 있습니다.

 

SSLUseStapling on

SSLStaplingResponderTimeout 5
SSLStaplingReturnResponderErrors off
SSLStaplingCache shmcb:/var/run/ocsp(128000)

 

위의 설정에 사용되는 shmcb:/var/run... 이 설정은 바꾸지 않아도 됩니다.

ocsp 파일 경로를 지정하는 것이 아니라 내부적으로 사용하는 캐시파일 경로거든요.

========================================================

위 팁을 아래 위치에 적용하는게 맞는지 도움 말씀 부탁드립니다.

 

<VirtualHost *:443>....
...
 Header always set Strict-Transport-Security "max-age=31536000"
     SSLEngine on 
    SSLProtocol all -SSLv2 -SSLv3 
    SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA
 
    SSLHonorCipherOrder on
 
    SSLCertificateFile "/home/myuser1/ssl/mysite_ssl.crt"
    SSLCertificateKeyFile "/home/myuser1/ssl/mysite_ssl.key"
    SSLCertificateChainFile "/home/myuser1/ssl/mysite_ssl.certchain.crt"

 

 [ 결과  추가 : 아래와 같이 추가 했습니다. ]
 
SSLUseStapling on
SSLStaplingResponderTimeout 5
SSLStaplingReturnResponderErrors off
 <VirtualHost> 
 SSLStaplingCache shmcb:/var/run/ocsp(128000)

 

  • profile
    웹지기 2017.10.20 12:11:05
    얼마전 언급하신 ssl테스트 사이트에서 테스트 결과에 나옵니다.
  • ?
    yoon 2017.10.20 12:22:37

    https://www.sslshopper.com/ssl-checker.html?hostname=martmonster.com (체인 인증서 테스트용)
    https://www.ssllabs.com/ssltest/analyze.html?d=martmonster.com (SSL 보안설정 테스트용)

    웹지기님 두군데 모두 살펴보았지만 속도와 관련된 부분은 찿질 못했는데 어떤 부분을 말씀 하시는 건지 도움 말씀 좀 받을 수 있을까요?

  • profile
    웹지기 2017.10.20 12:26:40
    OCSP stapling No 라고 뜨네요. 2번째 링크에서 확인해 보세요.
    찾기 어려우실때는 F5를 누르시고 찾고자 하는 검색어로 검색하면 쉽게 찾습니다. OCSP stapling 로 검색해보세요.
  • ?
    yoon 2017.10.20 12:32:26

    아 위 질문글에서 해당 팁을 어느 위치에 넣는게 맞는지 문의를 드린 부분이구요.
    아직 팁 적용은 하질 못했습니다.

  • profile
    웹지기 2017.10.20 12:33:35
    네. 저것을 적용하지 않으면 처음 접속하는 분들에게는 인증서가 유효한지 확인하는 시간이 필요해 굉장이 오래걸립니다. 해당팁에 설명이 자세히 되어 있는데 다시 굳이 답변을 드려야 하는지 몰랐네요.
  • profile
    웹지기 2017.10.20 12:44:26
    위치를 질문하신거라면 팁의 내용대로 해보시고 에러가 뜬다면 해당팁의 제 댓글과 기진곰님의 답변을 보시면 될겁니다.
  • profile
    기진곰 2017.10.20 13:25:44

    SSLStapling에서 S가 하나 빠졌네요 ㅋㅋ

     

    Stapling을 사용하면 최초 접속시 약간 빨라지기는 합니다만, 수시로 느려진다면 그것 외에도 다른 이유가 있을지 모릅니다. 예를 들어 국내 모 통신사에서 해외서버로 접속하면 80 포트보다 443 포트에 QOS가 훨씬 심하게 걸려서 SSL 쓰면 느리다는 인상을 주곤 합니다. 잘 사용하다가 중간중간 느려진다면 SSLSessionCache 등을 찾아보셔야 할 수도 있고요.

  • ?
    yoon 2017.10.20 14:02:50

    감사합니다.
    아래와 같이 추가해서 최종 확인 했습니다.
    [ 결과 추가 : 아래와 같이 추가 했습니다. ]
    SSLUseStapling on
    SSLStaplingResponderTimeout 5
    SSLStaplingReturnResponderErrors off
    <VirtualHost>
    SSLStaplingCache shmcb:/var/run/ocsp(128000)

  • profile
    기진곰 2017.10.20 16:41:33
    아, SSLStaplingCache는 <VirtualHost> 바깥으로 빼야 하는군요. 가이드가 잘못되었나 봅니다ㅜㅜ
  • ?
    yoon 2017.10.20 17:10:57
    매번 감사합니다.
    댓글에 이미 있는 웹지기님과 기진곰님의 대화를 보고 수정 했습니다.

서버에 요청 중입니다. 잠시만 기다려 주십시오...