L'handshake SSL impiega molto più tempo nella LAN che nella WAN [chiuso]

1

Ecco la struttura che abbiamo, 3 server nella posizione A (172.22.25.X) e 3 server nella posizione B (192.168.140.X). Uno dei 3 server in ogni posizione crea una connessione SSL con gli altri 4 server, in questo modo:

A1 si connette a A2, A3, B2 e B3 B1 si connette a A2, A3, B2 e B3

Quando A1 si collega a uno qualsiasi dei server, l'handshake SSL impiega meno di 300 ms.

Quando B1 si connette a A2 e A3, l'Handshake SSL impiega meno di 300 ms.

Ma quando B1 si connette a B2 o B3, la prima volta che l'handshake è terminato occorrono circa 9 secondi. Le seguenti richieste richiedono ancora meno di 300ms per un breve periodo (un minuto o due), e poi di nuovo al numero di 9 secondi.

Tutti e 6 i server hanno lo stesso software, in esecuzione sullo stesso sistema operativo (Windows Server 2008 R2 64 bit).

Abbiamo provato tutti i tipi di modifiche (abilitando e disabilitando Windows Firewall, rimuovendo il software antivirus, cambiando l'interruttore) ma continua lo stesso problema, e non abbiamo idee su cosa potrebbe causarlo.

Qualche idea?

    
posta flyonthebed 19.07.2013 - 22:43
fonte

1 risposta

5

Soliti sospetti per un handshake SSL prolungato sono la ricostruzione di catene di certificati e assegni CRL. Un client SSL convaliderà il certificato dal server, che può comportare l'ottenimento del certificato CA emittente e / o il download di un CRL che copre il suddetto certificato; entrambe le operazioni seguono l'URL trovato nei certificati stessi. Quando un certificato ha un URL solo locale (ad esempio un ldap:// URL che ha senso solo in un determinato sito), la macchina in questione potrebbe aver bisogno di un po 'di tempo prima di notare che l'URL non può essere utilizzato, e, in particolare, potrebbe bloccarsi su una ricerca DNS.

Ti suggerisco di utilizzare uno strumento di monitoraggio della rete (ad esempio Microsoft Network Monitor ) su client e server, per vedere cosa succede durante una delle strette strette di mano. Questo strumento sarà in grado di mostrarti i singoli messaggi di handshake, ma anche altre attività di rete: query DNS che falliscono dopo due o tre secondi. (Conoscere come funziona un handshake SSL può essere di aiuto, vedi questa risposta per un primer.)

    
risposta data 19.07.2013 - 23:16
fonte

Leggi altre domande sui tag