Ich hatte ein kostenloses SSL-Zertifikat, das einwandfrei funktionierte, als meine Site weniger Verkehr hatte – aber der Verkehr hat zugenommen, und jetzt erhalten Benutzer häufig Fehlermeldungen beim Herstellen einer sicheren Verbindung. Einige davon sind Fallback-Fehler, und andere sagen nur „Fehler beim Herstellen einer sicheren Verbindung“. Ich frage mich, ob es einen Unterschied macht, welches Zertifikat ich habe, wie viel Verkehr es verarbeiten kann? Gibt es ein Unternehmen, das Zertifikate ausstellt, die besser für Situationen mit hohem Verkehr geeignet sind?
Antwort1
Das Zertifikat selbst hat keinen Einfluss auf die Skalierung der Anwendung. Die Leistung kann durch die Größe des Zertifikats und der Kette beeinträchtigt werden, sodass eine kurze Zertifikatskette möglicherweise eine bessere Leistung bietet. In der Praxis spielt dies jedoch keine so große Rolle, solange die Sitzungswiederverwendung auf der Serverseite aktiviert ist (normalerweise die Standardkonfiguration).
Ich denke, Ihr Hauptproblem ist, dass Ihre Seite nicht gut skaliert, unabhängig vom Zertifikat. Mehr Benutzer bedeuten eine höhere Belastung des Servers und eine höhere Bandbreitennutzung, und wenn eine dieser Ressourcen knapp ist, gehen Pakete verloren oder werden zu langsam verarbeitet. In diesem Fall treten eine Reihe von Problemen auf, darunter SSL-Downgrade oder das Scheitern beim Herstellen der Verbindung.
Antwort2
Es könnte auch ein Problem mit der Aktivität von SSLs in letzter Zeit sein mitSHA1und tatsächlich ein Zufall hinsichtlich des Zeitpunkts und des Datenverkehrs Ihrer Site.
Welchen Server verwenden Sie? Haben Sie sich mit SSL-Offloading befasst? Wie wäre es mit einem CDN, das SSL unterstützt, wie CloudFlare oder Incapsula?
Überprüfen Sie bei Fallback-Problemen, welchen Punktestand Sie erreichen, und versuchen Sie, etwaige Probleme zu beheben.
Antwort3
In den meisten Fällen sollte es keine Auswirkungen haben, aber ich denke, dass die Größe des Schlüssels berücksichtigt werden sollte, insbesondere in Situationen mit extrem hohem Datenverkehr, in denen mehrere Benutzer die Site immer wieder aufrufen. Wenn Sie den gesamten Datenverkehr berücksichtigen, würde die Entschlüsselung von 2048-Bit-verschlüsselten Anfragen sicherlich besser funktionieren als die Entschlüsselung von 4096-Bit-verschlüsseltem Datenverkehr, und ich kann mir vorstellen, dass auch bestimmte Algorithmen einen Beitrag leisten könnten. Aber ich könnte mir vorstellen, dass dies nur in Szenarien mit extrem hohem Datenverkehr einen Beitrag leistet, in denen Benutzer häufig erneut eine Verbindung herstellen.