सैन सेर्ट्स प्रदर्शन को कैसे ख़राब करते हैं?

मैंने सुना है कि जब बहुत सारे नाम एकल SAN सर्टिफिकेट (सब्जेक्ट अल्टरनेटिव नेम) में जुड़ जाते हैं तो प्रदर्शन ख़राब होने लगता है।

किसी को समझा सकता है कि कैसे SAN समारोहों को संसाधित किया जाता है तो मैं समझता हूं कि प्रदर्शन लागत का क्या कारण है क्योंकि SAN पर नाम बढ़ता है?

ssl ssl-certificate certificate

— काइल ब्रांट
स्रोत

यह सिक्योरिटी पर भी उपयोगी हो सकता है ...

— पीटर ग्रेस

मैं कभी नहीं सुना है SAN प्रविष्टियों का अपमानजनक प्रदर्शन (बैंडविड्थ में स्पष्ट मामूली वृद्धि के अलावा, और हर प्रविष्टि को संसाधित करने के लिए ओवरहेड, उन लोगों के पास कुछ भी उल्लेख करने लायक नहीं है, जब तक कि आप लाखों SAN को डालने की कोशिश नहीं कर रहे हों। उसी प्रमाण म)। अपने संदर्भ का खुलासा करने के लिए देखभाल?

— क्रिस एस

कोमोडो के साथ एक कॉल पर उन्होंने हमें बताया कि यह मामला था (एक सौ या इससे अधिक बार नीचा दिखना शुरू)। मैं अनुमान लगा रहा था कि यह "प्रत्येक प्रविष्टि को संसाधित करना" था, लेकिन मैं वहाँ प्रसंस्करण प्रवाह के बारे में सुनिश्चित नहीं हूं - इसलिए मेरा सवाल है।

— काइल ब्रान्ड

यह सिर्फ एक forलूप है, यह देखने के लिए कि मेजबान SAN में से एक से मेल खाता है या नहीं। 50 SANs, कोई समस्या नहीं है। 5,000,000 SANs, समस्या।

— माइकल हैम्पटन

मेरे लिए अधिक प्रमाण पत्र खरीदने के लिए ग्राहकों को पाने के लिए एक चाल की तरह लगता है। क्या आपके पास वास्तव में कई 'SAN'S के लिए उपयोग का मामला है? मैंने केवल www / no www का उपयोग करने की क्षमता के लिए इसका उपयोग किया है, और एक्सचेंज सर्वर के लिए जहां मेरे पास बाहरी यूआरएल, आंतरिक सर्वर पता और ऑटोडिस्कवर है। मैं किसी भी एसएसएल प्रदाता को प्रमाणित करने की खुशी नहीं दे रहा हूं जो 100 नामों को कवर करता है। एक वाइल्डकार्ड आसान होगा लेकिन वह 'अधिक डॉट्स' के साथ नामों को कवर नहीं करता है।

— यूएसडी मैट

कुछ सतही परीक्षण से लगता है कि मुझे कुरूपता का एक गुच्छा खिलाया जा रहा है।

मैंने प्रमाण को इस तरह उत्पन्न किया:

openssl genrsa -out www.domain.tld.key 2048

[kbrandt@alpine: ~/sancrt] openssl req -new -key www.domain.tld.key -out www.domain.tld.csr
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:US
State or Province Name (full name) [Some-State]:NY
Locality Name (eg, city) []:New York
Organization Name (eg, company) [Internet Widgits Pty Ltd]:LOTA-SAN
Organizational Unit Name (eg, section) []:SANSRUS
Common Name (e.g. server FQDN or YOUR name) []:www.domain.tld
Email Address []:kyle@SANRUS.com
....

echo -n "subjectAltName=DNS:www.domain.tld," > www.domain.tld.cnf;for i in {1..2500}; do echo -n "DNS:www$i.domain.tld,"; done >> www.domain.tld.cnf   

#manually delete comma at the end of the .cnf

openssl x509 -req -days 365 \
>   -in www.domain.tld.csr \
>   -signkey www.domain.tld.key \
>   -text \
>   -extfile  www.domain.tld.cnf \
>   -out www.domain.tld.crt
Signature ok
subject=/C=US/ST=NY/L=New York/O=LOTA-SAN/OU=SANSRUS/CN=www.domain.tld/emailAddress=kyle@SANRUS.com
Getting Private key

cat *.key *.crt > sillysan.pem

जब मैं कर्ल और विंग की कोशिश करता हूं तो मुझे कोई ध्यान देने योग्य अंतर नहीं मिल सकता है:

time curl -ssl3 --noproxy \* -D - --insecure http://www2500.domain.tld
curl -ssl3 --noproxy \* -D - --insecure http://www2500.domain.tld  0.01s user 0.00s system 69% cpu 0.012 total

परिणाम www बनाम www2500 के साथ समान हैं। मुझे लगता है कि यह संभव है कि --insecure पूरी तरह से जाँच को दरकिनार कर देता है, लेकिन अब मैं एक बहुत ही अवैज्ञानिक परीक्षण के मानक टिकट देने जा रहा हूं:

यहाँ छवि विवरण दर्ज करें

— काइल ब्रांट
स्रोत