Bagaimana cara Sertifikat SAN menurunkan kinerja?

11

Saya telah mendengar bahwa ketika banyak nama ditambahkan ke kinerja SAN Cert (Nama Alternatif Subjek) tunggal mulai menurun.

Dapatkah seseorang menjelaskan bagaimana sertifikat SAN diproses sehingga saya mengerti apa yang menyebabkan biaya kinerja karena nama pada SAN meningkat?

ssl ssl-certificate certificate Kyle Brandt
sumber
Ini mungkin juga berguna pada security.se ...
Peter Grace
5
Saya belum pernah mendengar entri SAN menurunkan kinerja (selain sedikit peningkatan bandwidth yang jelas untuk mentransfer sertifikat, dan overhead memproses setiap entri; entri itu tidak boleh berarti apa-apa yang layak disebutkan kecuali Anda mencoba meletakkan jutaan SAN) dalam sertifikat yang sama). Ingin mengungkapkan referensi Anda?
Chris S
Pada panggilan dengan Comodo mereka mengatakan kepada kami bahwa inilah masalahnya (mulai menurunkan lebih dari seratus atau lebih). Saya menduga itu mungkin "memproses setiap entri", tapi saya tidak yakin dengan aliran pemrosesan di sana - maka pertanyaan saya.
Kyle Brandt
4
Ini hanya sebuah forloop, untuk melihat apakah host cocok dengan salah satu SAN. 50 SAN, tidak masalah. 5.000.000 SAN, masalah.
Michael Hampton
1
Kedengarannya seperti taktik untuk membuat pelanggan membeli lebih banyak sertifikat daripada saya. Apakah Anda benar-benar memiliki use case untuk banyak SAN? Saya hanya benar-benar menggunakannya untuk kemampuan menggunakan www / no www, dan untuk server pertukaran tempat saya menggunakan url eksternal, alamat server internal, dan autodiscover. Saya tidak bisa melihat penyedia SSL dengan senang hati memberikan sertifikat yang mencakup 100-an nama. Wildcard akan lebih mudah tetapi itu tidak mencakup nama dengan 'lebih banyak titik'.
USD Matt

Jawaban:

5

Beberapa pengujian dangkal tampaknya menunjukkan bahwa saya sedang diberi makan sekelompok malarky.

Saya menghasilkan sertifikat seperti:

openssl genrsa -out www.domain.tld.key 2048

[kbrandt@alpine: ~/sancrt] openssl req -new -key www.domain.tld.key -out www.domain.tld.csr
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:US
State or Province Name (full name) [Some-State]:NY
Locality Name (eg, city) []:New York
Organization Name (eg, company) [Internet Widgits Pty Ltd]:LOTA-SAN
Organizational Unit Name (eg, section) []:SANSRUS
Common Name (e.g. server FQDN or YOUR name) []:www.domain.tld
Email Address []:[email protected]
....

echo -n "subjectAltName=DNS:www.domain.tld," > www.domain.tld.cnf;for i in {1..2500}; do echo -n "DNS:www$i.domain.tld,"; done >> www.domain.tld.cnf   

#manually delete comma at the end of the .cnf

openssl x509 -req -days 365 \
>   -in www.domain.tld.csr \
>   -signkey www.domain.tld.key \
>   -text \
>   -extfile  www.domain.tld.cnf \
>   -out www.domain.tld.crt
Signature ok
subject=/C=US/ST=NY/L=New York/O=LOTA-SAN/OU=SANSRUS/CN=www.domain.tld/[email protected]
Getting Private key

cat *.key *.crt > sillysan.pem

Ketika saya mencoba meringkuk dan lupa, saya tidak bisa mendapatkan perbedaan nyata:

time curl -ssl3 --noproxy \* -D - --insecure http://www2500.domain.tld
curl -ssl3 --noproxy \* -D - --insecure http://www2500.domain.tld  0.01s user 0.00s system 69% cpu 0.012 total

Hasilnya sama dengan www vs www2500. Saya kira mungkin saja --insecure melewati pemeriksaan sama sekali, tetapi untuk sekarang saya akan memberikan cap standar dari tes yang sangat tidak ilmiah:

masukkan deskripsi gambar di sini

Kyle Brandt
sumber