By default SSL/HTTPS yang diberikan oleh nginx adalah versi lama, yakni dengan memakai HTTP/1.1, yang tidak secepat HTTP/2. Untuk itu kita perlu merubahnya menjadi versi terbaru yang lebih cepat. Caranya dengan mengubah config nginx. Cari baris yang seperti ini:
listen IP.IP.IP.IP:443 ssl;
Ubah menjadi seperti ini:
listen IP.IP.IP.IP:443 ssl http2;
Lalu optimasi (enable OCSP stapling dll) agar lebih cepat dengan menambahkan beberapa baris berikut:
ssl_protocols TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers 'EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH';
ssl_ecdh_curve secp384r1; # see here and here (pg. 485)
ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate /path/to/your/CA/chain.pem;
resolver 1.1.1.1 1.0.0.1 valid=300s;
resolver_timeout 5s;
ssl_buffer_size 8k;
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 24h;
ssl_session_tickets off;
Yang paling minimal dari semua di atas untuk menyalakan OCSP Stapling adalah dua bari berikut:
ssl_stapling on;
ssl_stapling_verify on;
Jangan lupa restart nginx setelah memasukkan data di atas. Jika gagal restart (nginx tidak mau jalan) hilangkan baris berawalan berikut dari contoh di atas:
Jangan lupa restart nginx setelah memasukkan data di atas. Jika gagal restart (nginx tidak mau jalan) hilangkan baris berawalan berikut dari contoh di atas:
ssl_session_cache
ssl_session_timeout
ssl_session_tickets
Setelah itu test hasilnya Qualys SSL Test, kalau tulisan OCSP Stapling sudah “yes” berarti optimasi berhasil.
Bagaimana untuk Litespeed? Gunakan tutorial berikut
Referensi:
haydenjames.io/nginx-tuning-tips-tls-ssl-https-ttfb-latency/
https://www.digicert.com/ssl-support/nginx-enable-ocsp-stapling-on-server.htm
Leave a Reply