El protocolo de enlace SSL tarda mucho más tiempo en LAN que en WAN [cerrado]

Question

El protocolo de enlace SSL tarda mucho más tiempo en LAN que en WAN [cerrado]

#1 de Thomas Pornin (5 votos)

1

Aquí está la estructura que tenemos, 3 servidores en la ubicación A (172.22.25.X) y 3 servidores en la ubicación B (192.168.140.X). Uno de los 3 servidores en cada ubicación crea una conexión SSL con los otros 4 servidores, como este:

A1 se conecta a A2, A3, B2 y B3 B1 se conecta a A2, A3, B2 y B3

Cuando A1 se conecta a cualquiera de los servidores, el protocolo de enlace SSL toma menos de 300 ms.

Cuando B1 se conecta a A2 y A3, el protocolo de enlace SSL toma menos de 300 ms.

Pero cuando B1 se conecta a B2 o B3, la primera vez que se completa el apretón de manos tarda unos 9 segundos. Las siguientes solicitudes nuevamente toman menos de 300 ms durante un corto tiempo (un minuto o dos) y luego vuelven al problema de los 9 segundos.

Todos los 6 servidores tienen el mismo software en ellos, ejecutándose en el mismo sistema operativo (Windows Server 2008 R2 64 bit).

Intentamos todo tipo de cambios (habilitar y deshabilitar el Firewall de Windows, eliminar el software antivirus, cambiar el interruptor) pero el problema continúa, y no tenemos idea de qué podría estar causándolo.

¿Alguna idea?

tls

pregunta flyonthebed 19.07.2013 - 22:43

fuente

1 respuesta

Lea otras preguntas en las etiquetas tls

Autenticación de dos factores (móvil) ¿Es posible la criptografía del lado del servidor con acceso de solo usuario para los servicios de correo electrónico?

score 5 · Answer 1

Los sospechosos habituales de un protocolo de enlace SSL excesivo son la reconstrucción de cadenas de certificados y controles de CRL. Un cliente SSL validará el certificado del servidor, lo que puede implicar la obtención del certificado de CA emisora y / o la descarga de una CRL que cubre dicho certificado; ambas operaciones siguen la URL que se encuentra en los propios certificados. Cuando un certificado tiene una URL solo local (por ejemplo, una URL ldap:// que tiene sentido solo en un sitio determinado), la máquina relevante puede necesitar algo de tiempo antes de darse cuenta de que la URL no se puede usar, y, en particular, puede detenerse en una búsqueda de DNS.

Le sugiero que ejecute una herramienta de monitoreo de red (por ejemplo, Microsoft Network Monitor ) tanto en el cliente como en el servidor, para ver qué sucede durante uno de los apretones de manos demasiado largos. Esta herramienta podrá mostrarle los mensajes de intercambio de manos individuales, pero también otra actividad de la red: las consultas de DNS que fallan después de dos o tres segundos aparecerán allí. (Saber cómo funciona un protocolo de enlace SSL puede ayudar; consulte esta respuesta para una cartilla.)