SAN Certs performansı nasıl düşürür?


11

Tek bir SAN Sertifikasına (Konu Alternatif Adı) çok sayıda ad eklendiğinde performansın düşmeye başladığını duydum.

Birisi SAN sertifikalarının nasıl işlendiğini açıklayabilir mi?


Bu ayrıca security.se üzerinde de yararlı olabilir ...
Peter Grace

5
Performansı düşüren SAN girişlerini hiç duymadım (sertifikayı aktarmak için bant genişliğindeki belirgin hafif artış ve her girişi işleme yükü dışında; milyonlarca SAN koymaya çalışmadığınız sürece bunlar bahsetmeye değer bir şey olmamalıdır aynı sertifikada). Referansınızı açıklamak ister misiniz?
Chris S

Comodo'yla yaptığımız bir çağrıda bunun böyle olduğunu söylediler (yüzün üzerinde bozulmaya başlar). Belki "her girişi işleme" olduğunu tahmin ediyordum, ama orada işleme akış emin değilim - dolayısıyla sorum.
Kyle Brandt

4
forAna bilgisayarın SAN'lardan biriyle eşleşip eşleşmediğini görmek sadece bir döngü. 50 SAN, sorun değil. 5.000.000 SAN, sorun.
Michael Hampton

1
Müşterilerin benden daha fazla sertifika almasını sağlamak için bir manevra gibi geliyor. O kadar çok SAN için bir kullanım vakanız var mı? Ben sadece gerçekten www / no www kullanma yeteneği ve ben dış url, iç sunucu adresi ve otomatik bulma sahip değişim sunucuları için kullandım. Hiçbir SSL sağlayıcısının 100 ad içeren bir sertifika vermekten mutluluk duyduğunu göremiyorum. Bir joker karakter daha kolay olurdu, ancak bu 'daha fazla nokta' içeren isimleri kapsamaz.
ABD Doları Matt

Yanıtlar:


5

Bazı yüzeysel testler, bir sürü malarky ile beslendiğimi gösteriyor.

Ben böyle sertifika üretti:

openssl genrsa -out www.domain.tld.key 2048

[kbrandt@alpine: ~/sancrt] openssl req -new -key www.domain.tld.key -out www.domain.tld.csr
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:US
State or Province Name (full name) [Some-State]:NY
Locality Name (eg, city) []:New York
Organization Name (eg, company) [Internet Widgits Pty Ltd]:LOTA-SAN
Organizational Unit Name (eg, section) []:SANSRUS
Common Name (e.g. server FQDN or YOUR name) []:www.domain.tld
Email Address []:kyle@SANRUS.com
....

echo -n "subjectAltName=DNS:www.domain.tld," > www.domain.tld.cnf;for i in {1..2500}; do echo -n "DNS:www$i.domain.tld,"; done >> www.domain.tld.cnf   

#manually delete comma at the end of the .cnf

openssl x509 -req -days 365 \
>   -in www.domain.tld.csr \
>   -signkey www.domain.tld.key \
>   -text \
>   -extfile  www.domain.tld.cnf \
>   -out www.domain.tld.crt
Signature ok
subject=/C=US/ST=NY/L=New York/O=LOTA-SAN/OU=SANSRUS/CN=www.domain.tld/emailAddress=kyle@SANRUS.com
Getting Private key

cat *.key *.crt > sillysan.pem

Kıvrılma ve wget denediğimde fark edilir bir farklılık elde edemiyorum:

time curl -ssl3 --noproxy \* -D - --insecure http://www2500.domain.tld
curl -ssl3 --noproxy \* -D - --insecure http://www2500.domain.tld  0.01s user 0.00s system 69% cpu 0.012 total

Sonuçlar www vs www2500 ile aynıdır. Sanırım --insure'un kontrolü tamamen atlaması mümkündür, ancak şimdilik çok bilimsel olmayan bir testin standart damgasını vereceğim:

resim açıklamasını buraya girin

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.