[BC3] SSL performance verlies (client&server zijde)

Het performance verlies is zó inhoud-afhankelijk dat je daar alleen zekerheid over krijgt door te testen.

Ik heb al een Quad Xeon machine over de zeik zien gaan door zware dynamische content over SSL terwijl er niet zoveel hits op de server waren.

Mja, is iets van een factor 10 tot 20 zwaarder voor zowel client als serverside.
Impact is uiteraard op de server wel veel erger.
Zeker als je 128bits encryptie gaat lopen gebruiken is het zwaar.
De dynamiteit maakt overigens weinig uit voor de ssl-verbinding.
Bij apache is het niet meer dan een "tunnel", waarbij de inhoud gewoon op dezelfde manier wordt gefabriceerd als standaard apache zonder ssl.

Ik kijk even of ab (apachebench) ssl ondersteund, als ie dat doet, test ik het wel even op mijn server

ik heb volgens mij ergens ooit gelzen dat er netwerk kaarten zijn dacht van 3com of intel die een deel van het coderen van ssl voor de rekening kunnen nemen, dus hardware matig decoden / encoden. Weet niet meer of dat een toekomst visie was of dat die kaarten er inderdaad zijn. Ik zal ff gaan zoeken.

Edit:

Heb wat gevonden kijk hier: www.intel.com/network/idc/solutions/ssl_accel.htm
En hier staan de hele dure specs van de kastjes: www.intel.com/network/idc/products/ecommerce_equipment.htm

Op donderdag 05 april 2001 22:40 schreef MoBi het volgende:
ik heb volgens mij ergens ooit gelzen dat er netwerk kaarten zijn dacht van 3com of intel die een deel van het coderen van ssl voor de rekening kunnen nemen, dus hardware matig decoden / encoden. Weet niet meer of dat een toekomst visie was of dat die kaarten er inderdaad zijn. Ik zal ff gaan zoeken.

Edit:

Heb wat gevonden kijk hier: www.intel.com/network/idc/solutions/ssl_accel.htm
En hier staan de hele dure specs van de kastjes: www.intel.com/network/idc/products/ecommerce_equipment.htm

Ik kan me niet voorstellen (heb die stukken dan ook niet gelezen) dat webservers daar wat mee kunnen... Aangezien ze best per ip een los certificaat kunnen hebben...

Ik kan me niet voorstellen (heb die stukken dan ook niet gelezen) dat webservers daar wat mee kunnen... Aangezien ze best per ip een los certificaat kunnen hebben...

Al het coderen en de coderen gebeurd op het kastje van intel, daar heeft de webserver niks meer mee te maken. Hoe het precies werkt weet ik ook niet, maar volgens mij staan de certificaten dus op dat intel kastje ipv op je web server. Zoiets is het.

Er zijn inderdaad hardware matige encryptie oplossingen. Maar jij bedoelt waarschijnlijk IPsec/3DES encryptie. Die zit tegenwoordig inderdaad op bijvoorbeeld de Intel 82550 ethernet controllers. En ook 3Com past dit toe.

Het gaat hier echter om SSL encryptie. Daar zijn weer speciale CPU kaarten voor (PCI) of zelfs dedicated externe hardware die zo een paar duizend tps haalt.