1. 우분투14.04/apache 2.4.7/ xe 환경에서 ssl 설치 후 간혹 첫로딩 또는 일부구간에서 로딩시간이 길어지는 증상이 나타나고 있는데요. 혹시 이런 경우 어떤 부분을 살펴봐야 할지 도움 말씀 부탁드리겠습니다.
2. 검색 중 https://xetown.com/tiptalk/9778 를 발견하고 아래 항목을 적용하고자 합니다.
OCSP Stapling은 님의 인증서가 유효하다는 증명을 미리 받아두어서
사용자가 님의 사이트에 처음 방문할 때 접속 속도를 높여주는 방법입니다.
아파치는 DH Param을 지원하지 않습니다.
아파치 2.4 이상에서는 아래의 설정으로 OCSP Stapling을 적용할 수 있습니다.
SSLUseStapling on
SSLStaplingResponderTimeout 5
SSLStaplingReturnResponderErrors off
SSLStaplingCache shmcb:/var/run/ocsp(128000)
위의 설정에 사용되는 shmcb:/var/run... 이 설정은 바꾸지 않아도 됩니다.
ocsp 파일 경로를 지정하는 것이 아니라 내부적으로 사용하는 캐시파일 경로거든요.
========================================================
위 팁을 아래 위치에 적용하는게 맞는지 도움 말씀 부탁드립니다.
<VirtualHost *:443>....
...
Header always set Strict-Transport-Security "max-age=31536000"
SSLEngine on
SSLProtocol all -SSLv2 -SSLv3
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA
SSLHonorCipherOrder on
SSLCertificateFile "/home/myuser1/ssl/mysite_ssl.crt"
SSLCertificateKeyFile "/home/myuser1/ssl/mysite_ssl.key"
SSLCertificateChainFile "/home/myuser1/ssl/mysite_ssl.certchain.crt"
[ 결과 추가 : 아래와 같이 추가 했습니다. ]
SSLUseStapling on
SSLStaplingResponderTimeout 5
SSLStaplingReturnResponderErrors off
<VirtualHost>
SSLStaplingCache shmcb:/var/run/ocsp(128000)
