Почему сертификат открытых ключей веб-сервера должен быть подписан центром сертификации?
Это не просто архитектура PCI, которая включена здесь, но и Ваш FSB, пропускная способность памяти и внутренняя пропускная способность через все чипсеты. Примите во внимание комментарий Wazoox - даже довольно недавние платформы Xeon, выполненные плохо в высоких частотах строчной развертки.
От чтения Ваших других комментариев я понимаю, что Вы делаете пакетное поколение в программном обеспечении и выставляете это через Ваши gige зарубки. Если Вы не разумны о том, как Вы генерируете данные, Вы могли насыщать свою пропускную способность памяти. DDR2 обработает 10 ГБ, бит при выполнении нескольких копий в памяти при генерации пакетов Вы на самом деле делаете намного больше внутреннего трафика.
Кроме того, если все 8 ядер привязаны, то Вы не поддерживаете на высоком уровне ни на одном из них. Является ли это загрузкой прерывания или плохими путями выполнения кода в Вашем пакетном процессе поколения, что-то стоит на пути. Я предложил бы решить этот вопрос сначала. Представьте свой код и узнайте, существует ли что-нибудь очевидное взятие большую часть Вашего времени.
Если это не помогает, и в зависимости от Ваших требований использования, Вы могли бы рассмотреть некоторые карты обработки/получения/передачи реальной сети, такие как карты Endace DAG (я предложу DAG 7.5 G2/G4 для PCI-e). Они не управляемы прерыванием, таким образом, существует не добавленная загрузка обработки из-за прерываний. Они не сетевые платы как таковые, таким образом, необходимо будет создать целый пакет и полезную нагрузку и обработать layer2 также, но это не настолько дорого.
Отказ от ответственности: Я работаю на Endace.
Цель SSL при использовании с HTTP не состоит в том, чтобы только зашифровать трафик, но также и пройти проверку подлинности, кто владелец веб-сайта, и что кто-то был готов инвестировать время и деньги в доказательство подлинности и владения их домена.
Это похоже на покупку отношений, не только шифрования, и отношения прививают или принимают, определенный уровень доверия.
Тем не менее я задал подобный вопрос несколько месяцев назад, и основным ответом, который возвратился, был "SSL, что-то вроде жульничества"
-
1Я думал, что сертификаты SSL были выпущены для дюйм/с, не доменов. Почему Вам были нужны различные сертификаты для доменов, размещенных на том же IP? Кроме того, страница Wikipedia на HTTPS упоминает, что возможно получить сертификаты бесплатно... Бизнес CA действительно походит на жульничество мне. – Olivier Lalonde 15 January 2010 в 07:18
-
2Сертификаты выпущены для доменов. Нет ничего препятствующего тому, чтобы Вы генерировали сам подписанный сертификат, it' ll просто открываются страшное предупреждение (это люди won' t чтение), потому что браузер doesn' t доверяют изданию Приблизительно " несколько SSL на Одном IP" вопрос много раз обсуждался здесь. Here' s поток с хорошим ответом serverfault.com/questions/73162/… – Zypher 15 January 2010 в 08:57
-
3Спасибо Zypher, Вы вынули слова из моего рта :) И сертификаты для для доменов, не IP' s. У нас есть три IP-адреса для трех серверов, которые служат нашему самому тяжелому веб-сайту, и им всем загрузили тот же сертификат. – Mark Henderson♦ 15 January 2010 в 09:30
Вообразите ситуацию, куда необходимо поставить 1 000 000$ человеку по имени John Smith, Вы никогда не встречали или общались с. Вам говорят, что можно встретить его в переполненном общедоступном месте. Когда Вы пойдете для встречи его, Вам будет нужен некоторый способ быть уверенными, что он - на самом деле человек, которого Вы ищете, и не некоторый другой случайный человек, утверждающий быть John Smith. Вы могли бы попросить некоторый правительственный идентификатор, визитную карточку. Вы могли бы спросить человека, которому Вы доверяете, кто на самом деле встретил John Smith для справки, идентифицирующей его.
Самоподписанный сертификат однозначно определяет систему, но он не делает ничего, чтобы доказать, что система - то, кем он утверждает, что был. Я могу легко самоподписать сертификат и утверждать, что был serverfault.com, google.com или yourbank.com. Центры сертификации в основном действуют как третье лицо, которому доверяет клиент, чтобы проверить, что сертификат на самом деле действителен для имени, которым сайт утверждает, что владел.
Бизнес SSL является действительно чем-то вроде жульничества. Больше, чем немного, на самом деле, когда Вы оплачиваете приблизительно 20 пунктов за байт некоторые криптографически интересные данные. То, за что Вы платите, для того, какой бы ни CA, который Вы используете для подписания сертификата с одним из их закрытых ключей после доказательства себе, что Вы действительно наделены правом использовать домен/имя хоста, для которого сертификат. Как Farseeker говорит, это - доверительные отношения - CA доверяет Вам (после того, как они исследовали Вас), веб-браузеры в мире доверяют CA (обычно), и поэтому веб-браузеры миров будут доверять Вашему сертификату. И не запускайте меня о Расширенной Проверке...