La elección de la Autoridad de certificación (CA) puede afectar el rendimiento de las conexiones TLS.
Para aclarar el proceso, el propietario del dominio genera la clave privada con una Solicitud de firma de certificado (CSR) correspondiente, que envíe a la CA (la CA no necesita tener acceso a la clave privada del usuario, ni nunca debe tener acceso). La CA verifica que el solicitante controle ese dominio (o realice una prueba de identidad más completa en el caso de Certificados de validación extendida ) y devuelve un certificado (para uso público) que corresponde a la clave privada original.
Ancho de banda para certificados intermedios
En muchos casos, las Autoridades de certificación firman la CSR utilizando un Intermedio
Certificado . En el caso más simple, este certificado intermedio habrá sido firmado por el certificado raíz de la CA. Al devolver el certificado al usuario, la CA también proporciona una copia del Certificado Intermedio utilizado para firmar el certificado para que cualquier cliente TLS pueda verificar la cadena de confianza.
Un problema de rendimiento es que algunas CA (por ejemplo, Godaddy) también incluyen una copia de su Certificado raíz incluido en el archivo que contiene su Certificado intermedio. Sin embargo, los clientes TLS ya deberían tener una copia de los certificados raíz de todas las entidades de certificación utilizadas comúnmente.
Cuando tengo que trabajar con dichas CA, edito el Certificado PEM intermedio para eliminar su Root Certificado. Esto evita perder ancho de banda innecesario cuando el cliente descarga el Certificado Intermedio.
Revocación
Como lo señala Deerhunter, puede haber diferencias en la velocidad y la disponibilidad entre los respondedores OCSP ejecutado por las AC. Dado que los clientes TLS consultan estos servidores para verificar si el certificado TLS ha sido revocado, esto puede hacer una diferencia en el rendimiento. No he investigado mucho esto, pero Netcraft publica una tabla de disponibilidad de OCSP y tengo un artículo que explica Revocación del certificado y el rendimiento de OCSP .