На скорость SSL Decrypt влияет CRL и протокол OCSP

Дата: 20.07.2020. Автор: Денис Батранков. Категории: Блоги экспертов по информационной безопасности
На скорость SSL Decrypt влияет CRL и протокол OCSP

Очень часто при тестировании SSL Decrypt на скорость упускается процесс проверки сертификата. То есть в тесте просто выключают это. А на самом деле включение проверок CRL и использование OCSP серьезно замедляет работу SSL и в том числе SSL Decrypt, поскольку там работа с SSL производится два раза: NGFW работает и как сервер для внутреннего клиента и как клиент для внешнего сервера и оба раза клиенты выполняют проверку сертификата сервера. Так работает любой SSL Proxy.
Вот посмотрите, в сети где одна рабочая станция — запросы OCSP посылает и сам NGFW (модель PA-220) и сама рабочая станция (мой ноутбук). Представляете сколько таких запросов, в сетях где 1000 рабочих станций? Насколько сильно это снижает время установления соединения SSL через SSL Proxy? Надо считать…


Источник — персональный блог Батранкова Дениса «Реальная безопасность».

Денис Батранков

Об авторе Денис Батранков

Советник по безопасности корпоративных сетей.
Читать все записи автора Денис Батранков

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *