当你给Nginx配置了SSL证书，网站安全性提升了，但突然发现访问速度变慢了？别急！这其实是很多运维和开发者常遇到的问题。SSL加密虽然保护了数据安全，但也会增加服务器的计算负担。不过，通过一些优化手段，完全可以既保障安全又提升速度。下面我们就用大白话+实例的方式，一步步解决这个问题。

1. 为什么Nginx配置SSL后会变慢？

SSL/TLS协议在建立连接时需要额外的“握手”过程（比如验证证书、协商加密算法等），比普通的HTTP请求更耗时。举个例子：

- HTTP请求：就像去超市直接拿货付款（1步）。

- HTTPS请求：要先核对身份证（证书验证）、商量用什么暗号交流（密钥交换），最后才交易（3步）。

如果服务器配置不当，每次访问都要重复这些步骤，自然就慢了。

2. 5个优化技巧提速HTTPS

① 开启HTTP/2协议

HTTP/2能大幅提升HTTPS性能，因为它支持“多路复用”（一个连接同时传输多个文件）。

配置方法：

```nginx

server {

listen 443 ssl http2;

加上http2

ssl_certificate /path/to/cert.pem;

ssl_certificate_key /path/to/key.pem;

}

```

效果对比：

- HTTP/1.1：加载一个网页可能需要几十个TCP连接。

- HTTP/2：只需1个连接并行传输所有资源（如图片、CSS、JS）。

② 启用SSL会话复用（Session Resumption）

每次用户访问都重新握手太费时，可以复用之前的会话信息。

ssl_session_cache shared:SSL:10m;

共享10MB内存缓存会话

ssl_session_timeout 1h;

会话有效期1小时

原理类比：

- 第一次见面握手（耗时）。

- 第二次见面直接说“还是老规矩”（复用缓存）。

③ 优化SSL加密算法

默认的加密算法可能很复杂（比如RSA2048），换成更高效的ECDHE算法能提速。

推荐配置：

ssl_prefer_server_ciphers on;

ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;

为什么有效？

- RSA密钥交换：计算量大（像用手算乘法）。

- ECDHE密钥交换：计算量小（像用计算器算乘法）。

④ OCSP Stapling加速证书验证

浏览器验证证书时需要查询CA机构（OCSP请求），可能阻塞连接。OCSP Stapling让服务器提前获取验证结果并缓存。

ssl_stapling on;

ssl_stapling_verify on;

resolver 8.8.8.8 valid=300s;

```

效果举例：原本每次验证证书要等200ms，开启后直接读缓存，几乎0延迟。

⑤ 调整Keepalive长连接

避免频繁重建SSL连接：

keepalive_timeout 75s;

TCP连接保持75秒

keepalive_requests 1000;

每个连接最多处理1000次请求

```

3. 测试工具验证效果

优化后记得用工具检查是否生效：

- Qualys SSL Labs测试: [https://www.ssllabs.com/ssltest/](https://www.ssllabs.com/ssltest/) （看评分和握手时间）

- curl命令测速:

```bash

curl -w "握手时间: %{time_appconnect}s\n" https://你的域名.com

****

Nginx的HTTPS慢通常不是SSL本身的问题，而是配置未优化。通过HTTP/2、会话复用、加密算法调优等手段，完全可以让加密后的网站比HTTP更快！如果你的站点还在忍受卡顿，赶紧试试这些方案吧！

TAG:nginx配置ssl证书后很慢,nginx部署ssl证书,nginx ssl_preread,nginx sslv3,nginx的ssl配置,nginx ssl_ciphers配置