포럼
웹사이트에 SSL 적용하실때 Comodo 꺼는 피하세요. - 속도저하
2014.11.01 00:46
웹사이트에 SSL을 적용하실때 가급적 Comodo꺼는 피하는게 좋을것 같습니다.
이번에 웹사이트에 SSL을 적용 하면서 이것저것 알아보았는데, Comodo의 경우는 OCSP 서버가 국내에 없어서 다른 SSL에 비하여 많이 느리더군요.
오히려 무료 서비스인 StartSSL(Akamai)이 더 빨랐네요.
보통 싸다고 Comodo꺼 많이쓰는데, 더 주고 다른거 사용하시는게 좋을 것 같습니다.
간단한 테스트 결과 입니다.
Comodo : ocsp.comodo.com 140ms(Asia쪽 CDN X)
가격 : 5$/year (Positive SSL)
RapidSSL(Geotrust) : rapidssl-gcsp.geotrust.com 4ms (Akamai)
가격: 7~20$/year
Globalsign(AlphaSSL) : ocsp2.globalsign.com 4ms (Cloudflare)
가격 : 20~50$/year(AlphaSSL), 오픈소스 프로젝트는 무상제공, wildcard 다른곳대비 저렴함
StartSSL : ocsp.startssl.com 4ms (Akamai)
가격 : 무료, 재발행 수수료 있음.
Digicert : ocsp.digicert.com 4ms (edgecast)
Verisign : ocsp.verisign.com 4ms (Akamai)
thawte : ocsp.thawte.com 4ms (Akamai)
댓글 8
-
AJKJ
2014.11.01 11:46
네, 최초 1회 접속이 느려질 뿐인지요, 그러나 저는 그 최초 접속 1회가 중요하다고 생각해요. 추가적으로 OCSP Stapling의 경우 현재 모바일 지원이 전혀 안되더군요. 모바일까지 생각하면, OCSP 서버가 가까운곳에 있는것을 사용하는게 좋지 않을까 생각합니다. https://www.ssllabs.com/ssltest/clients.html
P.S
그리고 chaining이 많이 된 인증서(Comodo Positive SSL)의 경우에는 현재 OpenSSL의 버그로 인해서 nginx에서 OCSP Stapling이 잘 적용이 되지 않습니다. 이 부분은 직접 컴파일 설치를 하지 않는 이상, 고치기는 어려워 보여요.
http://trac.nginx.org/nginx/ticket/556
-
저는 모바일에서 SSL 서버에 처음 접속할 때 0.14초 정도 지연이 발생하는 것은 아무 문제도 되지 않는다고 생각합니다만, 이 부분에 대해서는 합리적인 이견이 있을 수도 있다는 점을 인정합니다.
그러나 링크하신 nginx 버그 신고는 신고자의 부주의로 발생한 오류 같습니다. nginx 개발팀에서도 문제가 없다고 판단한 것으로 보이고, 저도 체인이 덕지덕지 붙은 Comodo PositiveSSL 인증서로 nginx에서 아무 문제 없이 OCSP stapling해서 쓰고 있거든요 ^^
-
AJKJ
2014.11.01 14:04
저는 실력이 많이 부족해서 nginx ssl_stapling + comodo positive ssl 문제를 해결하지 못하였어요. 정확히 말하면 nginx 문제가 아니라 openssl의 버그인것 같아요. 그래서 nginx쪽에서는 신경쓰지 않고, openssl쪽에서 수정중인것 같은데, 버그 패치된 버젼이 아직 대부분에 배포판에 반영되지 않은것 같아요. 직접 컴파일해서 사용할 능력이 되시면 정상적으로 사용 가능할것 같네요.
-
직접 컴파일한 것이 아니라 우분투 14.04 순정 버전입니다.
우분투 쪽에서 패치를 했는지도 모르겠네요.
-
AJKJ
2014.11.01 14:57
방금 VPS에 우분투 14.04 깔고 nginx 설치해서 셋팅해보았는데도, Comodo는 OCSP_Stapling이 먹히지 않네요, RapidSSL은 잘 먹히고요.. nginx -t를 하면 문제 없는데 error.log를 확인해 보거나 패킷을 직접 캡쳐해보면 여전히 문제가 있네요. 그냥 저는 포기해야 할것 같아요
-
저는 PositiveSSLCA2.crt와 AddTrustExternalCARoot.crt를 합쳐서 별도의 파일로 저장한 후 ssl_trusted_certificate에 지정했습니다. 반드시 위의 순서대로 들어가야 하고, 님의 도메인으로 발급받은 인증서는 넣으면 안됩니다. 반면, ssl_certificate에는 님의 인증서와 체인인증서까지 총 3개를 합쳐서 넣어야 하고요.
-
AJKJ
2014.11.01 16:01
감사합니다. ssl_certificate에 bundle하여 넣으니 정상작동 하네요. 아무생각없이 apache 꺼를 복사해서 쓰니까 문제가 생기는 것이였군요...
이런 문제를 해결하기 위해 OCSP Stapling이라는 것이 있습니다.
OCSP 정보를 님의 서버에서 캐싱해 두었다가 인증서와 함께 클라이언트에게 보내주는 거죠.
이렇게 하면 인증서 발급업체의 OCSP 서버에 아예 접속할 필요가 없게 되므로
인증서 발급업체와 무관하게 아주아주 빠른 속도를 즐길 수 있습니다.
CloudFlare 같은 곳은 이미 2년 전부터 OCSP Stapling을 기본 제공하고 있고,
아파치 2.4, nginx도 설정 한 줄만 추가해 주면 됩니다.
단, 국내 호스팅 환경에서 많이 사용하는 아파치 2.2는 지원이 안됩니다.
OCSP Stapling을 사용하지 않더라도 인증서 유효성 체크는 최초 접속시 1회만 이루어지므로
무조건 속도가 느려진다고 하는 것은 어폐가 있다고 생각합니다.
자주 사용하는 사이트라면 전혀 차이가 없거든요.