嗨,
我们是一个每天有数百万PI的新闻网站。在迁移到HTTPS的过程中,我们正在考虑使用We‘s Encrypt作为我们的CA(因为我们喜欢这个想法并想要推广它)。我们对ACME和DV很满意,但我们还没有解决的一个问题是OCSP在性能和可移植性方面的问题。如果我们坚持装订(甚至可能是必须装订),我们会将自己限制在正确实现它的服务器软件上,这将排除我们的一些选择--特别是云负载均衡器和一些CDN。如果我们想保留在不使用订书机的情况下运行它的选项(我们希望这样做),我们就必须能够依靠CA的OCSP响应器来处理我们的高峰流量,这可能是相当大的流量。我们的问题是:您是否有任何提示/最佳实践/Big X已经使用与我们的OCSP性能和部署相关的我们加密/做和不做?如有任何帮助,我们不胜感激。
顺便说一句:我们知道这些问题并不是我们加密所特有的,但我们认为它们是我们必须询问我们选择的任何CA的问题。
诚挚的问候,
Stephan,让我们加密定期生成OCSP响应,并在Akamai CDN的帮助下缓存它们。
因此,性能明智的让我们加密取决于Akamais服务的OCSP响应。任何服务都可能并且将偶尔关闭(希望不会太多!),但是Akamai是顶级CDN之一,所以让我们加密OCSP服务应该能够处理您施加给它的任何负载。
无论它的价值是什么,有很多流行的网站使用让我们加密。(警告:这是一个域名列表。其中一些是NSFW。),非常感谢您的回复。就性能而言,这是一个很好的消息。说服管理层,那就是另一回事了。对于一家知名报纸来说,与Xhamster、海盗湾和PornHub、Stephan_S并驾齐驱并不是一个很有说服力的论点:
对于一家知名报纸来说,与Xhamster、Pirate Bay和PornHub并驾齐驱并不是一个很有说服力的论点
那你就没有科莫多证书了。
左边的图片是让我们加密……哦,我的错!不过,老实说,任何大型互联网基础设施提供商都会有你不喜欢的客户。
没有那么多大的CA。当然。但“大型基础设施X是否有与我们类似的客户”这个问题在一些非技术方面是相关的--对于We‘s Encrypt,我还找不到任何客户。也许@cpu或@jsha知道一种方法,可以向Akamai索要他们代表LE处理的OCSP卷的一些统计数据?还是Akamai已经直接与LE共享了这些数据?我们昨天提供了大约22.5亿个OCSP回复,所以我们应该能够处理更多的负载。在使用We‘s Encrypt的高知名度网站方面,login.gov使用了我们,以及几个NASA子域。此外,Squaepace、Wix和WordPress.com(以及其他网站)为它们托管的每个域名都使用了We‘s Encrypt。这些域名往往不是很大,但总体而言,它加起来就是一个巨大的流量。
斯蒂芬·S:
您是否有任何提示/最佳实践/Big X已经使用与我们的OCSP性能和部署相关的让我们加密/做什么和不做什么?如有任何帮助,我们不胜感激。
似乎你已经掌握了大部分信息;OCSP订书机在性能和隐私方面都很好,但并不是所有的软件都正确地实现了它。如果您这样做了,请确保您的软件预取响应并且只服务于当前有效的响应。,@Schoen,@jsha:谢谢您的回答--这很有帮助!
