Эффективен ли расчет отзыва OpenVPN (черный список CLR)? Сколько ключей я могу безопасно отозвать?
Мы строим систему, в которой нам придется много заносить в черный список ключей OpenVPN. Отсюда вопрос: эффективен ли алгоритм OpenVPN для подсчета ключей в черном списке? Сколько ключей я могу безопасно отозвать, прежде чем OpenVPN потребует слишком много ресурсов для принятия нового соединения / повторной проверки существующего?
2 ответа
Я полагаю, что в CRL нет криптозащиты, просто сравнивая данные от клиента со списком. Это должно быть очень, очень быстро.
Конечно, есть только один способ быть уверенным...
Насколько я помню, когда вы используете список отзыва сертификатов (CRL), он проверяется для каждого подключающегося клиента во время подключения и проверяется каждый раз при повторном согласовании соединения TLS/SSL (которое я считаю почасовым). Исходя из этого, я бы предположил, что вам понадобится довольно значительное количество сертификатов в черном списке, прежде чем это станет проблемой.
Учтите, что если у вас есть две тысячи подключенных клиентов со скоростью подключения / отключения 50 клиентских подключений в минуту (эти цифры приведены просто для примера, но намеренно выше, чем большинство людей увидят), тогда вы будете проверять CRL около 5000 раз в час. Я полагаю, что на современном сервере OpenVPN может выполнить 5000 проверок примерно за 5 секунд, даже с приличным количеством сертификатов в черном списке.
Я не видел и не слышал о том, чтобы кто-нибудь тестировал это, так что реальное тестирование - это, вероятно, единственный способ узнать наверняка. И я бы абсолютно предложил создать тестовую среду, программно сгенерировать несколько тысяч (или более) сертификатов, а затем отозвать большинство этих сертификатов. Затем подключите несколько тестовых клиентов и посмотрите, как сервер справится с этим. Я ожидаю, что OpenVPN даже не будет моргать, но это, вероятно, стоило бы проверить.