2048位SSL开销

Question

你们能帮我学习一些ssl网络基础知识吗？

• 什么是SSL事务(完全握手？)
• 为什么人们认为2k ssl会融化netscalers (ssl跨/秒超过netscaler最大ssl跨/秒？)
• 您不能在cdn的边缘节点上安装ssl以节省网络定标器上的开销吗？

谢谢

Answer 1

大多数情况下，使用"SSL事务“一词只是指”受SSL保护的事务“；否则，您的解释是正确的--它意味着初始(完全或简化)握手，从那时起客户端和服务器交换密钥以保护消息。

根据第一种解释，在初始握手之后提出的每一个请求仍将受到SSL的保护，尽管严格地说，它不会是"SSL事务“，因为不需要进一步的密钥交换。开销应该是最小的(每个请求/响应只需要多几个字节)，所以性能的影响应该很小。

事实上，旧版本的NetScaler似乎在使用2048位SSL时遇到了问题，但我不知道为什么。然而，较新的版本已经有了适应，所以它不再是一个问题了。此外，虽然握手确实有点贵，其余的实际上是非常轻巧的。

至于最后一个问题，在CDN上使用SSL只会保护您的静态媒体，但是您仍然需要保护交换的动态消息(甚至更多)。此外，还有一些安全论据反对在CDN上使用SSL (简而言之，它给人一种错误的安全性感觉)，当然，您需要为您的站点和CDN使用不同的证书--您不会想将您的私钥给第三方，不管您有多信任，对吧？