排除过长的SSL连接

Question

由于几天，有时我面临一个太长的SSL连接时，连接到我的网站。

SSL连接时间过长

但我不知道问题的根源。

一切都好的时候，

openssl s_client -connect localhost:443

在不到50毫秒内返回响应。但是当我面临缓慢连接时，这个命令将在5-10秒内返回一个响应。

因此，我决定用内存、CPU、Apache打开的文件数量、http会话等指标来监视我的few服务器，但它们似乎都与问题无关。

当我用HTTP而不是HTTPS浏览我的网站时，我没有问题。

在Chrome工具的安全面板中，它告诉我证书是有效的。

请你想个办法帮我找出问题的根源好吗？

更新#1 :

以下是我的/etc/apache2/mods-启用/ssl.conf：

SSLRandomSeed startup builtin SSLRandomSeed startup file:/dev/urandom 512 SSLRandomSeed connect builtin SSLRandomSeed connect file:/dev/urandom 512

cat /proc/sys/kernel/random/entropy_avail还给我大约800个。

Answer 1

如果延迟确实是在协商SSL会话时，您可能需要检查SSLRandomSeed指令是否指向/dev/random。/dev/随机是相当安全的，但是当你的系统没有足够的熵(用cat /proc/sys/kernel/random/entropy_avail检查)时，它也是阻塞的。

将SSLRandomSeed更改为使用/dev/urandom (从不阻塞)通常是该问题的解决方案。