SAN証明書はどのようにパフォーマンスを低下させますか?

11

単一のSAN証明書(サブジェクトの別名)に多くの名前が追加されると、パフォーマンスが低下し始めると聞きました。

SAN証明書がどのように処理されるかを誰かが説明できるので、SANの名前が増えるにつれてパフォーマンスコストの原因を理解できますか?

ssl  ssl-certificate  certificate 
カイル・ブラント
ソース
また、これは... security.seに役に立つかもしれない
ピーター・グレイス
5
SANエントリがパフォーマンスを低下させることを聞いたことがありません(証明書を転送するための帯域幅の明らかなわずかな増加、および各エントリの処理のオーバーヘッドを除きます。数百万のSAN同じ証明書内)。あなたの参照を開示する気ですか?
クリスS
コモドとの電話で、彼らは私たちにこれが事実であると言った(百人以上で劣化し始める)。多分「各エントリを処理している」と推測していましたが、そこでの処理フローはわかりません。したがって、私の質問です。
カイルブラント
4
forホストがSANのいずれかに一致するかどうかを確認するためのループです。50 SAN、問題ありません。5,000,000 SAN、問題。
マイケルハンプトン
1
顧客に私に代わってより多くの証明書を購入してもらうための策略のように思えます。実際に、そのような多くの「SAN」のユースケースはありますか?www / no wwwを使用する機能と、外部URL、内部サーバーアドレス、および自動検出があるExchangeサーバーにのみ実際に使用しました。SSLプロバイダーが何百もの名前をカバーする証明書を提供して満足しているのを見ることができません。ワイルドカードの方が簡単ですが、名前に「より多くのドット」は含まれません。
マット

回答:

5

いくつかの表面的なテストは、私がマラキーの束を与えられていることを示唆しているようです。

私はそのように証明書を生成しました:

openssl genrsa -out www.domain.tld.key 2048

[kbrandt@alpine: ~/sancrt] openssl req -new -key www.domain.tld.key -out www.domain.tld.csr
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:US
State or Province Name (full name) [Some-State]:NY
Locality Name (eg, city) []:New York
Organization Name (eg, company) [Internet Widgits Pty Ltd]:LOTA-SAN
Organizational Unit Name (eg, section) []:SANSRUS
Common Name (e.g. server FQDN or YOUR name) []:www.domain.tld
Email Address []:kyle@SANRUS.com
....

echo -n "subjectAltName=DNS:www.domain.tld," > www.domain.tld.cnf;for i in {1..2500}; do echo -n "DNS:www$i.domain.tld,"; done >> www.domain.tld.cnf   

#manually delete comma at the end of the .cnf

openssl x509 -req -days 365 \
>   -in www.domain.tld.csr \
>   -signkey www.domain.tld.key \
>   -text \
>   -extfile  www.domain.tld.cnf \
>   -out www.domain.tld.crt
Signature ok
subject=/C=US/ST=NY/L=New York/O=LOTA-SAN/OU=SANSRUS/CN=www.domain.tld/emailAddress=kyle@SANRUS.com
Getting Private key

cat *.key *.crt > sillysan.pem

curlとwgetを試してみると、目立った違いはありません。

time curl -ssl3 --noproxy \* -D - --insecure http://www2500.domain.tld
curl -ssl3 --noproxy \* -D - --insecure http://www2500.domain.tld  0.01s user 0.00s system 69% cpu 0.012 total

結果はwwwとwww2500で同じです。--insecureがチェックを完全にバイパスする可能性があると思いますが、今のところ、非常に非科学的なテストの標準的なスタンプを提供します。

ここに画像の説明を入力してください

カイル・ブラント
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.