Я использую X509_load_cert_crl_file(openssl) для загрузки файла CRL в CTX и создания SSL для рукопожатия ssl_accept. Для каждого соединения SSL, в котором загружен файл CRL (600 КБ), используется в 10 раз больше памяти, чем для соединения SSL, которое не загружает CRL.
Почему объект SSL по-прежнему сохраняет контекст CRL после завершения рукопожатия? Должен ли я удалить контекст CRL из объекта SSL после успешного возврата ssl_accept? И как?
Чтобы оптимизировать память сервера, можно ли использовать SSL_CTX_set_cert_store(ssl->ctx, X509_STORE_new()) для принудительной очистки всех X509_store после рукопожатия? Будет ли какой-либо побочный эффект?
- OCSP не вариант на сервере