SAN Certs ลดประสิทธิภาพลงอย่างไร

11

ฉันเคยได้ยินว่าเมื่อชื่อจำนวนมากถูกเพิ่มลงในประสิทธิภาพ SAN Cert (ชื่อสำรองของชื่อ) จะเริ่มลดลง

บางคนสามารถอธิบายวิธีการประมวลผล SAN certs เพื่อให้ฉันเข้าใจว่าอะไรทำให้ต้นทุนประสิทธิภาพเพิ่มขึ้นเมื่อชื่อใน SAN เพิ่มขึ้น

ssl  ssl-certificate  certificate 
ไคล์แบรนด์
แหล่งที่มา
อาจนี้จะเป็นประโยชน์ใน security.se ...
ปีเตอร์เกรซ
5
ฉันไม่เคยได้ยินเกี่ยวกับประสิทธิภาพของ SAN ที่ลดลง (นอกเหนือจากแบนด์วิดท์ที่เพิ่มขึ้นเล็กน้อยเพื่อถ่ายโอนใบรับรองและค่าใช้จ่ายในการประมวลผลแต่ละรายการซึ่งไม่ควรมีค่าเท่ากับมูลค่าที่กล่าวถึงนอกเสียจากว่าคุณกำลังพยายามใส่ SAN หลายล้านตัว ในใบรับรองเดียวกัน) สนใจที่จะเปิดเผยการอ้างอิงของคุณ?
Chris S
ในการติดต่อกับโคโมโดพวกเขาบอกเราว่านี่เป็นกรณี (เริ่มลดลงกว่าร้อยหรือมากกว่านั้น) ฉันเดาว่าอาจเป็น "การประมวลผลแต่ละรายการ" แต่ฉันไม่แน่ใจเกี่ยวกับขั้นตอนการประมวลผลที่นั่น - ด้วยเหตุนี้คำถามของฉัน
Kyle Brandt
4
เป็นเพียงการforวนรอบเพื่อดูว่าโฮสต์นั้นตรงกับหนึ่งใน SAN หรือไม่ 50 SAN ไม่มีปัญหา ปัญหา 5,000,000 SAN
Michael Hampton
1
ดูเหมือนว่าเป็นวิธีการที่จะทำให้ลูกค้าซื้อใบรับรองเพิ่มเติมแทนฉัน คุณมีกรณีใช้งานจริงสำหรับ 'SAN'S' หลายคนหรือไม่ ฉันใช้เพื่อความสามารถในการใช้ www / no www เท่านั้นและสำหรับเซิร์ฟเวอร์การแลกเปลี่ยนที่ฉันมี URL ภายนอกที่อยู่เซิร์ฟเวอร์ภายในและการค้นหาอัตโนมัติ ฉันไม่เห็นผู้ให้บริการ SSL รายใดยินดีให้การรับรองที่ครอบคลุม 100 ชื่อ สัญลักษณ์แทนจะง่ายขึ้น แต่ไม่ครอบคลุมชื่อที่มี 'จุดเพิ่มเติม'
USD Matt Matt

คำตอบ:

5

การทดสอบผิวเผินบางอย่างดูเหมือนจะแนะนำว่าฉันกำลังได้รับอาหารมาลาเรียจำนวนมาก

ฉันสร้างใบรับรองเช่นนั้น:

openssl genrsa -out www.domain.tld.key 2048

[kbrandt@alpine: ~/sancrt] openssl req -new -key www.domain.tld.key -out www.domain.tld.csr
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:US
State or Province Name (full name) [Some-State]:NY
Locality Name (eg, city) []:New York
Organization Name (eg, company) [Internet Widgits Pty Ltd]:LOTA-SAN
Organizational Unit Name (eg, section) []:SANSRUS
Common Name (e.g. server FQDN or YOUR name) []:www.domain.tld
Email Address []:kyle@SANRUS.com
....

echo -n "subjectAltName=DNS:www.domain.tld," > www.domain.tld.cnf;for i in {1..2500}; do echo -n "DNS:www$i.domain.tld,"; done >> www.domain.tld.cnf   

#manually delete comma at the end of the .cnf

openssl x509 -req -days 365 \
>   -in www.domain.tld.csr \
>   -signkey www.domain.tld.key \
>   -text \
>   -extfile  www.domain.tld.cnf \
>   -out www.domain.tld.crt
Signature ok
subject=/C=US/ST=NY/L=New York/O=LOTA-SAN/OU=SANSRUS/CN=www.domain.tld/emailAddress=kyle@SANRUS.com
Getting Private key

cat *.key *.crt > sillysan.pem

เมื่อฉันลองขดและ wget ฉันไม่สามารถรับความแตกต่างที่น่าสังเกต:

time curl -ssl3 --noproxy \* -D - --insecure http://www2500.domain.tld
curl -ssl3 --noproxy \* -D - --insecure http://www2500.domain.tld  0.01s user 0.00s system 69% cpu 0.012 total

ผลลัพธ์เหมือนกันกับ www vs www2500 ฉันเดาว่าเป็นไปได้ที่ - ไม่ผ่านการตรวจสอบโดยสิ้นเชิง แต่ตอนนี้ฉันจะให้การประทับมาตรฐานของการทดสอบที่ไม่มีหลักวิทยาศาสตร์มาก:

ป้อนคำอธิบายรูปภาพที่นี่

ไคล์แบรนด์
แหล่งที่มา
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.