Session SSL billets vs id de session
Pour améliorer la communication SSL performance pour ne pas conserver la(courte) connexions il y a deux fonctions distinctes largement connus:
- TLS id de session
- Tickets de session TLS
Dans le cas de très nombreuses courtes sessions de connexion du mécanisme en termes de surcharge de performance est souhaitable et devrait être utilisé?
Je sais serveur de cacher de l'id de session, aussi les tickets de session sont facilement partageables dans le cas de l'équilibrage de la charge, mais supposons qu'il existe un seul serveur qui écoute sur un port unique(pas de l'équilibrage de la charge) et il reçoit de très nombreux COURTS entrant TLS sessions de connexion.
Donc qui approche (sessions ou des billets) est préférable compte tenu de ce scénario?
- Je vais ajouter ma réponse, mais en même temps, je ne pense pas que ce est une SORTE de question.
- Pourquoi? C'est de la pure programmation du réseau de question, rien à voir avec le matériel dans mon cas. Aussi je ne vois pas votre réponse)
- IMO ce n'est pas seulement adapté SI question, mais méritant plus d'attention qu'il a reçu à ce point.
Vous devez vous connecter pour publier un commentaire.
Le mécanisme du ticket est une extension TLS. Le client peut faire la publicité de son soutien par l'envoi d'un vide “Ticket de Session” extension du Client “Bonjour” message. Le serveur répond avec un vide “Ticket de Session” extension de son Serveur “Bonjour” message si il la prend en charge. Si l'un d'eux ne prend pas en charge cette extension, ils peuvent secours à l'identifiant de session mécanisme intégré dans le protocole SSL.
RFC 5077 identifie les situations où les billets sont souhaitables sur des identifiants de session. La principale amélioration est d'éviter la nécessité de maintenir un serveur de cache de session depuis l'ensemble de l'état de session est rappelé par le client, et non sur le serveur. Un cache de session peut être coûteux en termes de mémoire, et peut être difficile à partager entre plusieurs hôtes à la demande d'un équilibrage de charge sur les serveurs.
Avec session-id, le serveur a besoin de garder une trace des sessions précédentes qui pourrait être poursuivie à un certain point dans le temps. Il en résulte un travail supplémentaire que le serveur a à faire.
La session de billet, en revanche, n'est pas un identificateur, mais la séance de données cryptées par le serveur (et seul le serveur peut le décrypter). Lorsqu'un client souhaite donc de continuer une session, il sait encore le secret pré-maître, mais le serveur n'est pas plus. Si le client envoie la session de billet pour le serveur et le serveur est capable de déchiffrer son contenu. Toutes les informations nécessaires pour continuer la séance est inclus dans y, de sorte que le serveur puisse reprendre la session sans garder aucune information. Le chargement se fait sur le client (en gardant le secret pré-maître et la session de billet).
Vous avez seulement besoin de l'Id de session dans cette situation, et ils sont intégrés dans la plupart des implémentations SSL, contrairement à la RFC 5077 de billetterie, ce qui est encore une extension TLS.