Wie verschlechtern SAN-Zertifikate die Leistung?

11

Ich habe gehört, dass sich die Leistung verschlechtert, wenn viele Namen zu einem einzelnen SAN-Zertifikat (Subject Alternative Name) hinzugefügt werden.

Kann jemand erklären, wie SAN-Zertifikate verarbeitet werden, damit ich verstehe, was die Leistungskosten verursacht, wenn die Namen im SAN steigen?

ssl ssl-certificate certificate Kyle Brandt
quelle
Dies könnte auch für security.se nützlich sein ...
Peter Grace
5
Ich habe noch nie von SAN-Einträgen gehört, die die Leistung beeinträchtigen (abgesehen von der offensichtlichen geringfügigen Erhöhung der Bandbreite für die Übertragung des Zertifikats und dem Aufwand für die Verarbeitung jedes Eintrags). Diese sollten nicht erwähnenswert sein, es sei denn, Sie versuchen, Millionen von SANs zu installieren im gleichen Zertifikat). Möchten Sie Ihre Referenz offenlegen?
Chris S
Bei einem Anruf bei Comodo sagten sie uns, dass dies der Fall sei (beginnt sich über hundert zu verschlechtern). Ich vermutete, dass es vielleicht "jeden Eintrag verarbeiten" war, aber ich bin mir nicht sicher, wie die Verarbeitung dort abläuft - daher meine Frage.
Kyle Brandt
4
Es ist nur eine forSchleife, um festzustellen, ob der Host mit einem der SANs übereinstimmt. 50 SANs, kein Problem. 5.000.000 SANs, Problem.
Michael Hampton
1
Klingt für mich nach einem Trick, Kunden dazu zu bringen, mehr Zertifikate zu kaufen. Haben Sie tatsächlich einen Anwendungsfall für so viele SANs? Ich habe es nur wirklich für die Fähigkeit verwendet, www / no www zu verwenden, und für Exchange-Server, bei denen ich die externe URL, die interne Serveradresse und die automatische Erkennung hatte. Ich kann nicht sehen, dass ein SSL-Anbieter glücklich ist, ein Zertifikat bereitzustellen, das Hunderte von Namen abdeckt. Ein Platzhalter wäre einfacher, aber das deckt keine Namen mit "mehr Punkten" ab.
USD Matt

Antworten:

5

Einige oberflächliche Tests scheinen darauf hinzudeuten, dass ich mit einer Menge Malarkie gefüttert werde.

Ich habe das Zertifikat so generiert:

openssl genrsa -out www.domain.tld.key 2048

[kbrandt@alpine: ~/sancrt] openssl req -new -key www.domain.tld.key -out www.domain.tld.csr
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:US
State or Province Name (full name) [Some-State]:NY
Locality Name (eg, city) []:New York
Organization Name (eg, company) [Internet Widgits Pty Ltd]:LOTA-SAN
Organizational Unit Name (eg, section) []:SANSRUS
Common Name (e.g. server FQDN or YOUR name) []:www.domain.tld
Email Address []:[email protected]
....

echo -n "subjectAltName=DNS:www.domain.tld," > www.domain.tld.cnf;for i in {1..2500}; do echo -n "DNS:www$i.domain.tld,"; done >> www.domain.tld.cnf   

#manually delete comma at the end of the .cnf

openssl x509 -req -days 365 \
>   -in www.domain.tld.csr \
>   -signkey www.domain.tld.key \
>   -text \
>   -extfile  www.domain.tld.cnf \
>   -out www.domain.tld.crt
Signature ok
subject=/C=US/ST=NY/L=New York/O=LOTA-SAN/OU=SANSRUS/CN=www.domain.tld/[email protected]
Getting Private key

cat *.key *.crt > sillysan.pem

Wenn ich Curl und Wget versuche, kann ich keine merklichen Unterschiede feststellen:

time curl -ssl3 --noproxy \* -D - --insecure http://www2500.domain.tld
curl -ssl3 --noproxy \* -D - --insecure http://www2500.domain.tld  0.01s user 0.00s system 69% cpu 0.012 total

Die Ergebnisse sind die gleichen mit www vs www2500. Ich denke, es ist möglich, dass - unsicher die Prüfung insgesamt umgeht, aber im Moment werde ich den Standardstempel eines sehr unwissenschaftlichen Tests geben:

Geben Sie hier die Bildbeschreibung ein

Kyle Brandt
quelle