In che modo SAN Certs peggiora le prestazioni?

Ho sentito che quando molti nomi vengono aggiunti a un singolo SAN Cert (soggetto nome alternativo) le prestazioni iniziano a peggiorare.

Qualcuno può spiegare come vengono elaborati i certificati SAN in modo da capire quali sono le cause del costo delle prestazioni quando i nomi sulla SAN aumentano?

ssl ssl-certificate certificate

— Kyle Brandt
fonte

Questo potrebbe essere utile anche su security.se ...

— Peter Grace,

Non ho mai sentito parlare delle voci della SAN che peggiorano le prestazioni (a parte l'evidente leggero aumento della larghezza di banda per trasferire il certificato, e il sovraccarico dell'elaborazione di ciascuna voce; quelli non dovrebbero equivalere a nulla che valga la pena menzionare a meno che tu non stia cercando di mettere milioni di SAN nello stesso certificato). Vuoi divulgare il tuo riferimento?

— Chris S,

Durante una telefonata con Comodo ci dissero che era così (inizia a degradare oltre un centinaio). Immaginavo che forse stesse "elaborando ogni voce", ma non sono sicuro del flusso di elaborazione lì, quindi la mia domanda.

— Kyle Brandt,

È solo un forciclo per vedere se l'host corrisponde a una delle SAN. 50 SAN, nessun problema. 5.000.000 di SAN, problema.

— Michael Hampton

Sembra uno stratagemma per convincere i clienti ad acquistare più certificati invece per me. Hai davvero un caso d'uso per tanti 'SAN'S? L'ho usato solo per la capacità di utilizzare www / no www e per i server di scambio in cui ho avuto l'URL esterno, l'indirizzo del server interno e l'individuazione automatica. Non riesco a vedere alcun provider SSL felice di fornire un certificato che copre centinaia di nomi. Un carattere jolly sarebbe più semplice ma non copre i nomi con "più punti".

— USD

Alcuni test superficiali sembrano suggerire che mi stanno dando da mangiare un sacco di malvagio.

Ho generato il certificato in questo modo:

openssl genrsa -out www.domain.tld.key 2048

[kbrandt@alpine: ~/sancrt] openssl req -new -key www.domain.tld.key -out www.domain.tld.csr
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:US
State or Province Name (full name) [Some-State]:NY
Locality Name (eg, city) []:New York
Organization Name (eg, company) [Internet Widgits Pty Ltd]:LOTA-SAN
Organizational Unit Name (eg, section) []:SANSRUS
Common Name (e.g. server FQDN or YOUR name) []:www.domain.tld
Email Address []:kyle@SANRUS.com
....

echo -n "subjectAltName=DNS:www.domain.tld," > www.domain.tld.cnf;for i in {1..2500}; do echo -n "DNS:www$i.domain.tld,"; done >> www.domain.tld.cnf   

#manually delete comma at the end of the .cnf

openssl x509 -req -days 365 \
>   -in www.domain.tld.csr \
>   -signkey www.domain.tld.key \
>   -text \
>   -extfile  www.domain.tld.cnf \
>   -out www.domain.tld.crt
Signature ok
subject=/C=US/ST=NY/L=New York/O=LOTA-SAN/OU=SANSRUS/CN=www.domain.tld/emailAddress=kyle@SANRUS.com
Getting Private key

cat *.key *.crt > sillysan.pem

Quando provo ad arricciare e wget non riesco ad ottenere differenze evidenti:

time curl -ssl3 --noproxy \* -D - --insecure http://www2500.domain.tld
curl -ssl3 --noproxy \* -D - --insecure http://www2500.domain.tld  0.01s user 0.00s system 69% cpu 0.012 total

I risultati sono gli stessi con www vs www2500. Immagino sia possibile che --insecure ignori del tutto il controllo, ma per ora darò il timbro standard di un test molto poco scientifico:

inserisci qui la descrizione dell'immagine

— Kyle Brandt
fonte