Mi è stato chiesto di trovare il miglior certificato SSL disponibile per la distribuzione di una soluzione globale in cui le prestazioni sono fondamentali. Ma ... importa davvero chi sarà la CA?
AFAIK (non impostare mai SSL prima), al momento della registrazione per un certificato, otterremo i due file (csr e chiave, mancante qualsiasi altra cosa?) che saranno ospitati sui nostri server, quindi .. il CA prescelto non dovrebbe essere un problema per le prestazioni, ho ragione?
La scelta dell'autorità di certificazione (CA) può influire sulle prestazioni delle connessioni TLS.
Per chiarire il processo, il proprietario del dominio genera la chiave privata con una corrispondente Certificate Signing Request (CSR) che inviare alla CA (la CA non ha bisogno di - né dovrebbe mai - avere accesso alla chiave privata dell'utente). La CA controlla che il richiedente controlli tale dominio (o esegue una prova di identità più approfondita nel caso di Certificati di convalida estesi ) e restituisce un certificato (per uso pubblico) che corrisponde alla chiave privata originale.
In molti casi, le autorità di certificazione firmano il CSR utilizzando un Intermediate certificato. Nel caso più semplice, questo certificato intermedio sarà stato firmato dal certificato di root della CA. Quando restituisce il certificato all'utente, la CA fornisce anche una copia del certificato intermedio utilizzato per firmare il certificato in modo che qualsiasi client TLS possa verificare la catena di fiducia.
Un problema di prestazioni è rappresentato dal fatto che alcune CA (ad es. Godaddy) includono anche una copia del loro certificato di root in bundle nel file contenente il certificato intermedio. Tuttavia, i client TLS dovrebbero già avere una copia dei certificati di root di tutte le CA comunemente utilizzate.
Quando devo lavorare con queste CA, modifico il PEM del certificato intermedio per rimuovere la loro radice Certificato. Ciò evita lo spreco di larghezza di banda non necessaria quando il client scarica il certificato intermedio.
Come sottolineato da Deerhunter, ci possono essere differenze di velocità e disponibilità tra OCSP risponditori gestiti dalle CA. Poiché i client TLS interrogano questi server per verificare se il certificato TLS è stato revocato, ciò può fare la differenza per le prestazioni. Non ho esaminato questo aspetto, ma Netcraft pubblica una tabella della disponibilità di OCSP e ha un articolo che spiega Revoca certificato e prestazioni di OCSP .
Leggi altre domande sui tag web-application tls certificate-authority web-service