Optimasi SSL Nginx (OCSP Stapling)

By default SSL/HTTPS yang diberikan oleh nginx adalah versi lama, yakni dengan memakai HTTP/1.1, yang tidak secepat HTTP/2. Untuk itu kita perlu merubahnya menjadi versi terbaru yang lebih cepat. Caranya dengan mengubah config nginx. Cari baris yang seperti ini:

listen IP.IP.IP.IP:443 ssl;

Ubah menjadi seperti ini:

listen IP.IP.IP.IP:443 ssl http2;

Lalu optimasi (enable OCSP stapling dll) agar lebih cepat dengan menambahkan beberapa baris berikut:

ssl_protocols TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers 'EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH';
ssl_ecdh_curve secp384r1; # see here and here (pg. 485)
ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate /path/to/your/CA/chain.pem;
resolver 1.1.1.1 1.0.0.1 valid=300s;
resolver_timeout 5s;
ssl_buffer_size 8k;
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 24h;
ssl_session_tickets off;

Yang paling minimal dari semua di atas untuk menyalakan OCSP Stapling adalah dua bari berikut:

ssl_stapling on;
ssl_stapling_verify on;

Jangan lupa restart nginx setelah memasukkan data di atas. Jika gagal restart (nginx tidak mau jalan) hilangkan baris berawalan berikut dari contoh di atas:

Jangan lupa restart nginx setelah memasukkan data di atas. Jika gagal restart (nginx tidak mau jalan) hilangkan baris berawalan berikut dari contoh di atas:

ssl_session_cache
ssl_session_timeout
ssl_session_tickets

Setelah itu test hasilnya Qualys SSL Test, kalau tulisan OCSP Stapling sudah “yes” berarti optimasi berhasil.

Bagaimana untuk Litespeed? Gunakan tutorial berikut

Referensi:

haydenjames.io/nginx-tuning-tips-tls-ssl-https-ttfb-latency/

https://www.digicert.com/ssl-support/nginx-enable-ocsp-stapling-on-server.htm


Posted

in

by

Tags:

Comments

Leave a Reply

Your email address will not be published. Required fields are marked *