Làm thế nào để SAN Certs làm giảm hiệu suất?

11

Tôi đã nghe nói rằng khi rất nhiều tên được thêm vào một hiệu suất SAN Chứng nhận (Tên thay thế chủ đề) bắt đầu giảm.

Ai đó có thể giải thích cách xử lý SAN certs để tôi hiểu nguyên nhân gây ra chi phí hiệu suất khi tên trên SAN tăng?

ssl  ssl-certificate  certificate 
Kyle Brandt
nguồn
Điều này cũng có thể hữu ích trên security.se ...
Peter Grace
5
Tôi chưa bao giờ nghe nói về các mục SAN làm giảm hiệu suất (ngoài việc tăng nhẹ băng thông để chuyển chứng chỉ và chi phí xử lý mỗi mục; trong cùng một chứng chỉ). Quan tâm để tiết lộ tài liệu tham khảo của bạn?
Chris S
Trong một cuộc gọi với Comodo, họ nói với chúng tôi rằng đây là trường hợp (bắt đầu xuống cấp hơn một trăm hoặc hơn). Tôi đã đoán nó có thể là "xử lý từng mục", nhưng tôi không chắc chắn về quy trình xử lý ở đó - vì vậy câu hỏi của tôi.
Kyle Brandt
4
Đó chỉ là một forvòng lặp, để xem liệu máy chủ có khớp với một trong các SAN không. 50 SAN, không vấn đề gì. 5.000.000 SAN, có vấn đề.
Michael Hampton
1
Âm thanh như một mánh khóe để khiến khách hàng mua thêm chứng chỉ thay cho tôi. Bạn có thực sự có trường hợp sử dụng cho nhiều 'SAN'S không? Tôi chỉ thực sự sử dụng nó cho khả năng sử dụng www / no www và cho các máy chủ trao đổi nơi tôi đã có url bên ngoài, địa chỉ máy chủ nội bộ và tự động phát hiện. Tôi không thể thấy bất kỳ nhà cung cấp SSL nào hài lòng khi cung cấp chứng chỉ bao gồm 100 tên. Một ký tự đại diện sẽ dễ dàng hơn nhưng không bao gồm các tên có 'nhiều dấu chấm'.
USD Matt

Câu trả lời:

5

Một số thử nghiệm hời hợt dường như cho thấy rằng tôi đang được cho ăn một loạt các malarky.

Tôi đã tạo chứng chỉ như vậy:

openssl genrsa -out www.domain.tld.key 2048

[kbrandt@alpine: ~/sancrt] openssl req -new -key www.domain.tld.key -out www.domain.tld.csr
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:US
State or Province Name (full name) [Some-State]:NY
Locality Name (eg, city) []:New York
Organization Name (eg, company) [Internet Widgits Pty Ltd]:LOTA-SAN
Organizational Unit Name (eg, section) []:SANSRUS
Common Name (e.g. server FQDN or YOUR name) []:www.domain.tld
Email Address []:kyle@SANRUS.com
....

echo -n "subjectAltName=DNS:www.domain.tld," > www.domain.tld.cnf;for i in {1..2500}; do echo -n "DNS:www$i.domain.tld,"; done >> www.domain.tld.cnf   

#manually delete comma at the end of the .cnf

openssl x509 -req -days 365 \
>   -in www.domain.tld.csr \
>   -signkey www.domain.tld.key \
>   -text \
>   -extfile  www.domain.tld.cnf \
>   -out www.domain.tld.crt
Signature ok
subject=/C=US/ST=NY/L=New York/O=LOTA-SAN/OU=SANSRUS/CN=www.domain.tld/emailAddress=kyle@SANRUS.com
Getting Private key

cat *.key *.crt > sillysan.pem

Khi tôi thử uốn xoăn và quên, tôi không thể nhận được bất kỳ sự khác biệt đáng chú ý nào:

time curl -ssl3 --noproxy \* -D - --insecure http://www2500.domain.tld
curl -ssl3 --noproxy \* -D - --insecure http://www2500.domain.tld  0.01s user 0.00s system 69% cpu 0.012 total

Kết quả giống nhau với www vs www2500. Tôi đoán có thể là - bảo mật bỏ qua việc kiểm tra hoàn toàn, nhưng bây giờ tôi sẽ đưa ra con dấu tiêu chuẩn của một bài kiểm tra rất không khoa học:

nhập mô tả hình ảnh ở đây

Kyle Brandt
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.