Maneira de acelerar o SSL com balanceamento de carga usando o nginx?

1

Portanto, a configuração do nosso site é de 4 nós executando o rails 3 e o nginx 1, que usam o mesmo certificado GoDaddy. Como somos um site pago, precisamos manter a conformidade com o PCI-DSS e, portanto, temos que usar as criptografias SSL mais caras - também forçamos SSL usando o Rack. Eu recentemente mudei para o NodeBalancer da Linode (que eu li como um HACluster), e não estamos obtendo o desempenho que gostaríamos idealmente.

Pelo que eu li, parece que terminar o SSL nos nós usando a alta cifra é o que está causando o baixo desempenho, mas eu gostaria de ser minucioso. Há algo que eu possa fazer? Eu li sobre outras maneiras de encerrar o SSL antes do NodeBalancer (como usar o stud), mas não sei o suficiente sobre essas soluções. Nós certamente não queremos fazer nada experimental ou qualquer coisa que tenha um único ponto de falha.

Se realmente não houver nada que eu possa fazer para acelerar o handshake SSL, minha alternativa seria dar suporte a certas páginas do Rails usando um subdomínio seguro e inseguro. Eu encontrei alguns guias que passam por isso, mas a minha pergunta resultante está nessa situação, seria melhor ter o nginx manipulando o ssl no subdomínio seguro em vez de nos trilhos?

Obrigado!

    
por paulnsorensen 06.04.2012 / 04:16

1 resposta

1

Minhas dicas para tornar o SSL rápido, tendo trabalhado em sites que lidam com dezenas de milhares de conexões SSL por segundo:

  1. Encerre o SSL nas máquinas da Web, não no balanceador de carga. Colocá-lo no balanceador de carga é um ponto de estrangulamento.
  2. Ajuste suas cifras - sim, são cifras de alta segurança que não sugam a vida de você.
  3. Ativar todas as várias formas de armazenamento em cache da sessão SSL; Isso beneficia tanto a CPU quanto os tempos de resposta aos clientes. Ignore os idiotas que lhe dizem para ativar a afinidade da sessão, use um armazenamento de sessão SSL centralizado para permitir que todos os servidores Web front-end beneficiem o cache.
por 06.04.2012 / 04:33