ssl_certificate_cache
Директива ssl_certificate_cache задаёт параметры кэширования SSL-сертификатов в NGINX. — NGINX HTTP Core
Описание
Директива ssl_certificate_cache в NGINX настраивает параметры кэширования SSL-сертификатов. Когда устанавливаются SSL-соединения, NGINX может сохранять SSL-сертификаты в кэше для повторного использования. Такое поведение кэша помогает повысить производительность, сокращая необходимость многократно загружать SSL-сертификаты для одних и тех же соединений или при активном управлении сессиями. Параметры позволяют настраивать размер кэша и длительность хранения сертификатов. Директива может принимать от одного до трёх аргументов. Первый параметр задаёт размер кэша, то есть объём памяти, выделяемый для кэширования сертификатов. Он может использовать распространённые суффиксы размеров, такие как 'k', 'm' или 'g', обозначающие килобайты, мегабайты или гигабайты. Второй необязательный параметр задаёт таймаут, определяющий, как долго сертификат остаётся в кэше, а третий необязательный параметр указывает максимальное число записей в кеше. Если они не заданы, сертификаты будут оставаться в кэше до достижения предела размера кэша, после чего будут вытесняться наименее недавно использованные элементы. Использование ssl_certificate_cache помогает оптимизировать время SSL-рукопожатия, поскольку NGINX может извлекать сертификаты из памяти, избегая filesystem I/O. Однако администраторам следует осторожно подходить к выбору размера кэша и времени хранения, так как они могут повлиять на использование памяти и динамику обновления сертификатов, особенно в средах с частой сменой SSL-сертификатов.
Пример конфига
http {
ssl_certificate_cache 10m 30s 100;
}Убедитесь, что размер cache достаточен для вашей ожидаемой нагрузки.
Установка слишком большого timeout может привести к появлению устаревших certificates при изменениях.
Неиспользование cache может привести к увеличению времени SSL handshake.