web-dev-qa-db-ja.com

HTTPSはHTTPの50倍以上遅い

Httpsを使用してJavaScriptファイルをクライアントに送信するWebサイトがあります。ウェブサイトは getsimpleapps.com です。

このファイルの読み込みは、https(20.08s-29.08s)の方がhttp(380ms)の場合より52倍遅いことがわかります。

サイトのホームページは、javacriptファイルと同じ低速性を共有しています。

私は最近ドリームホストからlinodeに切り替え、SSLが機能するまで新しいサーバーでSSLを機能させることにハッキングしました。クレイジーな設定はしていません。

LinodeはUbuntu 12.04を実行しており、サイトは(LAMP)スタックの上にあります。

スタックオーバーフローコミュニティに対する私の質問は、次のとおりです。サーバーでSSLおよびHTTPSを修正するにはどうすればよいですか?スタックオーバーフローには HTTPSの遅さ に関する質問が散らかっていますが、実際の解決策はありません。 ubuntuチュートリアルまたは構成ガイドが理想的です。


ファイル:/etc/Apache2/sites-enabled/getsimpleapps.com

<VirtualHost *:80>
     ServerAdmin [email protected]
     ServerName getsimpleapps.com
     ServerAlias www.getsimpleapps.com
     DocumentRoot /srv/sites/getsimpleapps.com/public/
     ErrorLog /srv/sites/getsimpleapps.com/logs/error.log
     CustomLog /srv/sites/getsimpleapps.com/logs/access.log combined
</VirtualHost>

<VirtualHost 50.116.58.18:443>
     SSLEngine On
     #SSLCertificateFile /etc/Apache2/ssl/www.getsimpleapps.com.crt
     #SSLCertificateKeyFile /etc/Apache2/ssl/www.getsimpleapps.com.key
     #SSLCACertificateFile /etc/Apache2/ssl/comodo.crt
     SSLCertificateFile /etc/Apache2/ssl/dreamhost/dh.crt
     SSLCertificateKeyFile /etc/Apache2/ssl/dreamhost/dh.key
     SSLCACertificateFile /etc/Apache2/ssl/dreamhost/dh.cer

     ServerAdmin [email protected]
     ServerName getsimpleapps.com
     ServerAlias www.getsimpleapps.com
     DocumentRoot /srv/sites/getsimpleapps.com/public/
     ErrorLog /srv/sites/getsimpleapps.com/logs/error.log
     CustomLog /srv/sites/getsimpleapps.com/logs/access.log combined
</VirtualHost>

ローカルワークステーションからのカール

thomas@workstation:~$ time curl -Iv https://getsimpleapps.com/
* About to connect() to getsimpleapps.com port 443 (#0)
*   Trying 50.116.58.18... connected
* Connected to getsimpleapps.com (50.116.58.18) port 443 (#0)
* SSLv3, TLS handshake, Client hello (1):
* SSLv3, TLS handshake, Server hello (2):
* SSLv3, TLS handshake, CERT (11):
* SSLv3, TLS handshake, Server key exchange (12):
* SSLv3, TLS handshake, Server finished (14):
* SSLv3, TLS handshake, Client key exchange (16):
* SSLv3, TLS change cipher, Client hello (1):
* SSLv3, TLS handshake, Finished (20):
* SSLv3, TLS change cipher, Client hello (1):
* SSLv3, TLS handshake, Finished (20):
* SSL connection using DHE-RSA-AES256-SHA
* Server certificate:
*    subject: OU=Domain Control Validated; OU=Provided by New Dream Network, LLC; OU=DreamHost Basic SSL; CN=getsimpleapps.com
*    start date: 2012-02-23 00:00:00 GMT
*    expire date: 2013-02-22 23:59:59 GMT
*    subjectAltName: getsimpleapps.com matched
*    issuer: C=GB; ST=Greater Manchester; L=Salford; O=Comodo CA Limited; CN=PositiveSSL CA
*    SSL certificate verify ok.
> HEAD / HTTP/1.1
> User-Agent: curl/7.21.4 (universal-Apple-darwin11.0) libcurl/7.21.4 OpenSSL/0.9.8r zlib/1.2.5
> Host: getsimpleapps.com
> Accept: */*
> 
< HTTP/1.1 200 OK
HTTP/1.1 200 OK
< Date: Thu, 02 Aug 2012 20:31:39 GMT
Date: Thu, 02 Aug 2012 20:31:39 GMT
< Server: Apache/2.2.22 (Ubuntu)
Server: Apache/2.2.22 (Ubuntu)
< X-Powered-By: PHP/5.3.10-1ubuntu3.2
X-Powered-By: PHP/5.3.10-1ubuntu3.2
< Set-Cookie: ci_session=a%3A5%3A%7Bs%3A10%3A%22session_id%22%3Bs%3A32%3A%2298c7e45da25e4aaf80f7a1e36ed4a006%22%3Bs%3A10%3A%22ip_address%22%3Bs%3A13%3A%2250.75.209.154%22%3Bs%3A10%3A%22user_agent%22%3Bs%3A81%3A%22curl%2F7.21.4+%28universal-Apple-darwin11.0%29+libcurl%2F7.21.4+OpenSSL%2F0.9.8r+zlib%2F1.2.5%22%3Bs%3A13%3A%22last_activity%22%3Bi%3A1343939499%3Bs%3A9%3A%22user_data%22%3Bs%3A0%3A%22%22%3B%7D80bf8ae5040fc47780ccd59f1fb8b267; expires=Thu, 02-Aug-2012 22:31:39 GMT; path=/
Set-Cookie: ci_session=a%3A5%3A%7Bs%3A10%3A%22session_id%22%3Bs%3A32%3A%2298c7e45da25e4aaf80f7a1e36ed4a006%22%3Bs%3A10%3A%22ip_address%22%3Bs%3A13%3A%2250.75.209.154%22%3Bs%3A10%3A%22user_agent%22%3Bs%3A81%3A%22curl%2F7.21.4+%28universal-Apple-darwin11.0%29+libcurl%2F7.21.4+OpenSSL%2F0.9.8r+zlib%2F1.2.5%22%3Bs%3A13%3A%22last_activity%22%3Bi%3A1343939499%3Bs%3A9%3A%22user_data%22%3Bs%3A0%3A%22%22%3B%7D80bf8ae5040fc47780ccd59f1fb8b267; expires=Thu, 02-Aug-2012 22:31:39 GMT; path=/
< Vary: Accept-Encoding
Vary: Accept-Encoding
< Content-Type: text/html
Content-Type: text/html

< 
* Connection #0 to Host getsimpleapps.com left intact
* Closing connection #0
* SSLv3, TLS alert, Client hello (1):

real    0m29.078s
user    0m0.018s
sys 0m0.005s

LinodeサーバーからのCurl(ssh経由)

thomas@vannevar:~$ time curl -Iv https://getsimpleapps.com/happy-ending/api/script.js?shop=holstee.myshopify.com
* About to connect() to getsimpleapps.com port 443 (#0)
*   Trying 50.116.58.18... connected
* successfully set certificate verify locations:
*   CAfile: none
  CApath: /etc/ssl/certs
* SSLv3, TLS handshake, Client hello (1):
* SSLv3, TLS handshake, Server hello (2):
* SSLv3, TLS handshake, CERT (11):
* SSLv3, TLS handshake, Server key exchange (12):
* SSLv3, TLS handshake, Server finished (14):
* SSLv3, TLS handshake, Client key exchange (16):
* SSLv3, TLS change cipher, Client hello (1):
* SSLv3, TLS handshake, Finished (20):
* SSLv3, TLS change cipher, Client hello (1):
* SSLv3, TLS handshake, Finished (20):
* SSL connection using DHE-RSA-AES256-SHA
* Server certificate:
*    subject: OU=Domain Control Validated; OU=Provided by New Dream Network, LLC; OU=DreamHost Basic SSL; CN=getsimpleapps.com
*    start date: 2012-02-23 00:00:00 GMT
*    expire date: 2013-02-22 23:59:59 GMT
*    subjectAltName: getsimpleapps.com matched
*    issuer: C=GB; ST=Greater Manchester; L=Salford; O=Comodo CA Limited; CN=PositiveSSL CA
*    SSL certificate verify ok.
> HEAD /happy-ending/api/script.js?shop=holstee.myshopify.com HTTP/1.1
> User-Agent: curl/7.22.0 (i686-pc-linux-gnu) libcurl/7.22.0 OpenSSL/1.0.1 zlib/1.2.3.4 libidn/1.23 librtmp/2.3
> Host: getsimpleapps.com
> Accept: */*
> 
< HTTP/1.1 200 OK
HTTP/1.1 200 OK
< Date: Thu, 02 Aug 2012 20:43:30 GMT
Date: Thu, 02 Aug 2012 20:43:30 GMT
< Server: Apache/2.2.22 (Ubuntu)
Server: Apache/2.2.22 (Ubuntu)
< X-Powered-By: PHP/5.3.10-1ubuntu3.2
X-Powered-By: PHP/5.3.10-1ubuntu3.2
< Set-Cookie: ci_session=a%3A5%3A%7Bs%3A10%3A%22session_id%22%3Bs%3A32%3A%2204a54136cab08f9fdc5f082ebb8e739a%22%3Bs%3A10%3A%22ip_address%22%3Bs%3A12%3A%2250.116.58.18%22%3Bs%3A10%3A%22user_agent%22%3Bs%3A97%3A%22curl%2F7.22.0+%28i686-pc-linux-gnu%29+libcurl%2F7.22.0+OpenSSL%2F1.0.1+zlib%2F1.2.3.4+libidn%2F1.23+librtmp%2F2.3%22%3Bs%3A13%3A%22last_activity%22%3Bi%3A1343940210%3Bs%3A9%3A%22user_data%22%3Bs%3A0%3A%22%22%3B%7De7d7b8e2ca69b34c531ba7472b4b21b7; expires=Thu, 02-Aug-2012 22:43:30 GMT; path=/
Set-Cookie: ci_session=a%3A5%3A%7Bs%3A10%3A%22session_id%22%3Bs%3A32%3A%2204a54136cab08f9fdc5f082ebb8e739a%22%3Bs%3A10%3A%22ip_address%22%3Bs%3A12%3A%2250.116.58.18%22%3Bs%3A10%3A%22user_agent%22%3Bs%3A97%3A%22curl%2F7.22.0+%28i686-pc-linux-gnu%29+libcurl%2F7.22.0+OpenSSL%2F1.0.1+zlib%2F1.2.3.4+libidn%2F1.23+librtmp%2F2.3%22%3Bs%3A13%3A%22last_activity%22%3Bi%3A1343940210%3Bs%3A9%3A%22user_data%22%3Bs%3A0%3A%22%22%3B%7De7d7b8e2ca69b34c531ba7472b4b21b7; expires=Thu, 02-Aug-2012 22:43:30 GMT; path=/
< Content-Type: text/javascript
Content-Type: text/javascript
* no chunk, no close, no size. Assume close to signal end

< 
* Closing connection #0
* SSLv3, TLS alert, Client hello (1):

real    0m25.991s
user    0m0.015s
sys 0m0.022s
8
ThomasReggi

同じ問題がありましたが、HTTPとHTTPSで応答時間がほぼ同じです。問題は answer by @htmltiger のようであることが判明しました。Apache2は単にワーカープロセスを使い果たしていました。

これにより、ワーカーが解放されて次のリクエストを処理できるようになるまで、新しいリクエストがキューに入れられます[ source ]。これがHTTPSのみに影響し、HTTPSにも影響しない理由は、ほぼすべてのトラフィックがHTTP経由であり、ApacheがHTTPとHTTPSリクエストに同じ優先度を与え、各キューから順番に1つのリクエストを受け取るためだと思います。したがって、HTTPSキューがはるかに長い場合、リクエストははるかに長く待機します。キューは単にLinux TCP接続キューメカニズムであり、Linuxはポートごとに1つのキューを提供するため、実際には2つのキューがあります。

診断

これが問題である場合は、次の症状が発生します。

  • 最良の指標:サーバーで_apachectl status_は、許可されているすべてのワーカープロセスが実行中であることを示します。これは、プロセススコアボードの行にドット_._が表示されない場合であり、「現在のプロセスのないオープンスロット」が残っていないことを示します。たとえば、行は次のようになります。

    _KKKKKKRKKKRRCWKKKCCKWKKKKCRCKKKKKKKCKCKKKKWRKKKKWRWKKKKKKCWKKWKKK
    _
  • メインのApache2エラーログにこのようなメッセージが表示されます(_/var/log/Apache2/error.log_、ドメイン固有のものではありません)。

    _[mpm_prefork:error] [pid 4715] AH00161: server reached MaxRequestWorkers 
        setting, consider raising the MaxRequestWorkers setting
    _
  • Apacheバックログには多くのプロセスがあります。 この詳細な記事 によると、これはss -lti '( sport = :https )'出力の_unacked:_値から確認できます。ただし、ssのバージョンまたは構成によっては、その値が欠落している場合があります。

  • ほとんどの遅延(たとえば20秒のうち17秒)は、Firefoxネットワークコンソールの[タイミング]タブで、要求された初期URLの[ブロッキング]として表示されます。

解決

これは、Apacheで prefork MPMサーバーモジュール を使用することを前提としています。ただし、「イベント」および「ワーカー」のMPMモジュールでも同様です– details

  1. _/etc/Apache2/mods-enabled/mpm_prefork.conf_を編集し、MaxRequestWorkers設定を増やします。

  2. デフォルトの256を超えて増やす場合は、変更を有効にするために ServerLimit も同じ値に設定する必要があります。

  3. 変更を適用します:_service Apache2 reload_

  4. _apachectl status_のスコアボード出力で、新しいMaxRequestWorkers設定が有効であることを確認してください。これは、スコアボードの行の長さと同じでなければなりません。

  5. 設定がまだ有効でない場合は、_/etc/Apache2_で、変更を上書きする可能性がある古い構成ディレクティブ(および古い非推奨の同義語)を検索します。

    _grep -R MaxRequestWorkers /etc/Apache2/*
    grep -R MaxClients /etc/Apache2/*
    _

鑑別診断

HTTPSがHTTPよりもはるかに遅いが、一連のページのリロードのたびに(平均して)毎回ではない場合、2つのApache2サーバーが実行されている この空想的な問題 のバリアントがある可能性があります。 SSLポート443。

3
tanius

暗号をRC4-MD5(パフォーマンスとセキュリティのバランスが良い)に変更してみてください。

SSLCipherSuite RC4-MD5

乾杯

0
HTTP500

忙しいサーバーでも同様の問題がありましたが、mpm_prefork.confでMaxRequestWorkersを400に増やして修正しました。

0
htmltiger