Если ваша цель - повысить производительность, вы хотите приступить к проверке сертификатов ДО того, как рукопожатие SSL будет завершено.Согласование симметричного ключа для соединения является вычислительно дорогой частью установления соединения.
Вы можете проверить практически все в сертификате ПОСЛЕ установления SSL-соединения.Хитрость с точки зрения производительности заключается в переходе в состояние, в котором вы можете сбросить соединение ДО того, как рукопожатие будет завершено.
У меня есть две мысли: 1 - посмотреть, какие библиотеки SSL вы можете использовать на своем сервере, и какие ограниченияони позволят вам сделать.Обычно библиотеки SSL позволяют:
- ограничивать подключение к доверенным сертификатам
- проверять текущую действительность
Некоторые библиотеки более высокого уровня также позволяют вам делатьпроверка OCSP или проверка CRL для проверки текущего статуса.
Большинство библиотек позволят вам подключиться и написать свою собственную проверку - но вам нужно действительно покопаться в деталях и выяснить, позволяет ли вам сделать проверку до илипосле того, как соединение установлено.
2 - Еще один способ улучшить производительность SSL - настроить серверы так, чтобы они повторно использовали общие ключи из предыдущих сеансов.Это исключает стоимость установки, когда те же две точки восстанавливают соединение.Если у вас нет безопасного хранилища, это подвергнет вашу систему риску.Но это может быть приемлемой сделкой, если вы правильно защитите хранилище ключей.
Это во многом зависит от вашей среды - № 2 не является выигрышем в среде с МНОГО соединений - вы не сможетечтобы утилизировать соединения достаточно, чтобы оправдать хранение информации.