SSLアクセラレータの性能仕様について調べたこと
SSLの性能仕様として挙げられるのがスループットとCPS・TPS。
CPSがconnection/sec。
これはHTTPSのTCPコネクションという意味合いでいいのか?
TPSはtransaction/sec。
TCPコネクションの中のHTTPSセッションがこれにあたるのか?
机上指標では1CPS≒3~5TPSぐらいなのかな?
そもそもSSL処理でTPS性能が関連するのが以下の3つ。
・新規接続時の初期ハンドシェイク
・再ネゴシエーション
下記参考のBIG-IPの資料を見るとこれらが発生するのは新しいTCP接続ごととのこと。
???
一つ目はわかるが、下二つもTCP再接続になるのか?
このSSLの仕組みは知りたいな。
⇒<追記>負荷がかかるのはSSLのネゴシエーション処理時。このネゴシエーション処理が発生するのが上記の3つという認識でいいのかな。SSL再開は上記の中でも処理は軽い方だな。
私の認識は、
再ネゴシエーションは、既存のTCPコネクションの中で新しいセッションをはるための鍵を再作成する認識。TCPコネクションも張りなおされるのかな??
IPA 独立行政法人 情報処理推進機構:情報セキュリティ技術動向調査(2009 年下期)
⇒<追記>認識通り。既存のSSLセッションを利用してい再度SSLのネゴシエーションを実施すること。
基本的に再ネゴシエーションは無効になっている?
過去にいくつかの脆弱性情報がある。
SSLのセッションIDの再利用
既存セッション情報を使いまわして余分な処理を省くことでパフォーマンスを向上さえている。
TCPコネクション確立後のSSLセッション確立時のClient Hello時に送信している。
このあたりがモヤッとしていてすっきりしないな。
もう少し調べてみよう。
⇒<追記>Ciscoの機器設定のページの参考になる。実際の設定項目を確認できる。
Cisco Content Services Switch SSL コンフィギュレーション ガイド Software Version 7.50 - SSL 開始の設定 - Cisco Systems
参考
不正アクセスを防止するSSL/TLS(5):SSL/TLS(Part.4) (1/2) - @IT
http://www.f5networks.co.jp/shared/pdf/BIG-IP_2k_SSL_faq.pdf