如何利用ssl_session_cache指令优化SSL会话重用，大幅减少握手延迟？

本文共计787个文字，预计阅读时间需要4分钟。

启动 `ssl_session_cache` 是 Nginx 中最直接、最有效的 SSL 性能优化手段，实测可将单次 TLS 握手耗时降低约 40%，核心在于跳过密钥交换与证书验证环节，将完整握手（约 3 个 RTT）压缩为简短握手（仅 1-2 个 RTT）。

选对缓存类型：shared 是生产环境唯一推荐选项

OpenSSL 内置缓存（builtin）仅限单 worker 进程使用，多进程下复用率极低；off 和 none 则完全禁用重用。真正可用的是共享内存缓存：

• 语法必须写成 shared:SSL:10m —— 名称（SSL）和大小（10m）缺一不可，名称用于日志和监控标识
• 10MB 可缓存约 4 万个会话（按每个会话 ~250 字节估算），适合日均百万级 HTTPS 请求的站点
• 若并发连接峰值超 10 万，建议调至 20m 或更高，避免缓存满导致新会话被挤出

设准超时时间：5–10 分钟是兼顾复用率与内存安全的黄金区间

ssl_session_timeout 不是“越长越好”。它决定会话在服务端内存中保留多久，直接影响两个关键指标：

• 设为 5m：适合用户行为分散、连接间隔不稳定的场景，内存占用低，但复用率略降
• 设为 10m：覆盖大多数浏览器默认 Keep-Alive 超时（通常 75 秒），实测复用率提升 15% 以上
• 超过 30m 需谨慎：可能使失效会话长期驻留，增加内存碎片，且不符合 PCI DSS 等合规要求

搭配 session tickets 使用，彻底释放服务器内存压力

仅靠 ssl_session_cache 仍需服务端维护状态。开启会话票据后，会话密钥由服务器加密后交由客户端存储，服务端无需缓存：

• 添加配置 ssl_session_tickets on;，配合 ssl_session_cache 形成双保险
• 票据默认有效期 300 秒，可通过 ssl_session_ticket_key 指定密钥轮转（高安全场景必需）
• 注意：TLS 1.3 默认启用更安全的 PSK 模式，ssl_session_tickets 在 1.3 下自动适配，无需额外调整

验证是否生效：三步快速确认

别只看配置是否加载成功，要抓包或命令行验证实际行为：

• 用 openssl s_client -connect example.com:443 -reconnect 连接两次，观察第二次输出中是否含 Reused, SSL handshake succeeded
• Wireshark 抓包对比：首次连接应有 ServerHello 后跟 Certificate + ServerKeyExchange；复用时 ServerHello 后直接进入 ChangeCipherSpec
• Nginx 日志中开启 $ssl_session_reused 变量，统计 r（reused）与 .（new）比例，健康值应 ≥ 60%