SAN证书如何降低性能?

11

我听说,当将多个名称添加到单个SAN证书(主题备用名称)时,性能开始下降。

有人可以解释SAN证书的处理方式,以便我了解随着SAN名称增加而导致性能成本下降的原因吗?

ssl  ssl-certificate  certificate 
凯尔·勃兰特(Kyle Brandt)
source
这对安全性也可能有用
Peter Grace
5
我从未听说过SAN条目会降低性能(除了传输证书的带宽明显增加以及处理每个条目的开销外;这些都不值得一提,除非您尝试放置数百万个SAN在同一证书中)。愿意透露您的参考资料吗?
克里斯·S
在与Comodo的通话中,他们告诉我们情况就是这样(开始退化一百多个左右)。我猜想这可能是“处理每个条目”,但是我不确定那里的处理流程-因此是我的问题。
凯尔·布​​兰特
4
只是一个for循环,以查看主机是否与其中一个SAN匹配。50个SAN,没问题。5,000,000 SAN,问题。
迈克尔·汉普顿
1
听起来像是在骗我让客户购买更多证书。您实际上有那么多“ SAN”用例吗?我只是真正将它用于使用www / no www的功能,以及用于我拥有外部URL,内部服务器地址和自动发现的交换服务器的功能。我看不到任何SSL提供商都会乐意提供涵盖100个名称的证书。通配符会更容易,但是不会用“更多点”覆盖名称。
美元马特

Answers:

5

一些表面测试似乎表明我被喂了一堆黑醋栗。

我生成了这样的证书:

openssl genrsa -out www.domain.tld.key 2048

[kbrandt@alpine: ~/sancrt] openssl req -new -key www.domain.tld.key -out www.domain.tld.csr
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:US
State or Province Name (full name) [Some-State]:NY
Locality Name (eg, city) []:New York
Organization Name (eg, company) [Internet Widgits Pty Ltd]:LOTA-SAN
Organizational Unit Name (eg, section) []:SANSRUS
Common Name (e.g. server FQDN or YOUR name) []:www.domain.tld
Email Address []:kyle@SANRUS.com
....

echo -n "subjectAltName=DNS:www.domain.tld," > www.domain.tld.cnf;for i in {1..2500}; do echo -n "DNS:www$i.domain.tld,"; done >> www.domain.tld.cnf   

#manually delete comma at the end of the .cnf

openssl x509 -req -days 365 \
>   -in www.domain.tld.csr \
>   -signkey www.domain.tld.key \
>   -text \
>   -extfile  www.domain.tld.cnf \
>   -out www.domain.tld.crt
Signature ok
subject=/C=US/ST=NY/L=New York/O=LOTA-SAN/OU=SANSRUS/CN=www.domain.tld/emailAddress=kyle@SANRUS.com
Getting Private key

cat *.key *.crt > sillysan.pem

当我尝试curl和wget时,我看不到任何明显的区别:

time curl -ssl3 --noproxy \* -D - --insecure http://www2500.domain.tld
curl -ssl3 --noproxy \* -D - --insecure http://www2500.domain.tld  0.01s user 0.00s system 69% cpu 0.012 total

www与www2500的结果相同。我想--insecure可能会完全绕过检查,但是现在我要给出一个非常不科学的测试的标准标记:

在此处输入图片说明

凯尔·勃兰特(Kyle Brandt)
source
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.