Kezdőlap > General, PKI > Tanúsítvány miatti lassulás

Tanúsítvány miatti lassulás


Adott cégnél panaszkodtak a kollégák, hogy egy adott alkalmazás lassan indul el. Mindez azért volt furcsa, mert igaz, hogy böngészőt használnak, de az a helyi kiszolgálókra csatlakozott, onnan töltötte be az adatokat. S egyértelműen látszott, hogy míg a fejlesztőknél villámgyorsan betöltődik az oldal, a felhasználók esetén legalább 2 perc kellett elteljen.

A kérdés körbejárása közben derült ki, hogy gyakorlatilag nem is az oldallal van baj, hanem annak egy adott részével. Ott egy Java-alkalmazás futott le, amelyik meghívott egy digitálisan aláírt .ocx komponenst, s ennek betöltése során jött a hosszú várakozási idő.

A kollégák körbejárása, majd később a közös nyomozás nem volt egyszerű. A Java verziók stimmeltek, egyértelmű volt, hogy a komponens betöltődik (tehát korrekt módon lett regisztrálva) – de a lassúság valóban zavaró volt. A jogosultságok ellenőrzése szintén nem hozott eredményt, ha egy fejlesztő jelentkezett be a felhasználó gépén, akkor azon a gépen nála is lassú volt.

Az egyik jelentős különbség, ami alapján el tudtunk indulni, az a két gép hálózati csatlakozása közötti eltérés. A fejlesztők egy teljesen más hálózatra csatlakoznak, amelynek van ugyan némi átjárása a belső hálózatra, de korlátozott módon. Ezért egy fejlesztői gépet – megfelelő ellenőrzés után – rákötöttünk a belső hálózatra, s úgy próbáltuk elérni a kért weboldalt. S íme, máris jött az első nyom: az internetre akart csatlakozni, ehhez a belső hálózaton használt proxy-hoz kérte a név/jelszó párost. Akár megkapta, akár nem, tovább lehetett lépni, s betöltődött a kért komponens – de felmerült a kérdés, hogy ha végig belső hálón vagyunk, miért is akar kimenni?

A kérdés megválaszolása érdekében egy „igazi” belső hálós géppel próbáltuk ki ugyanezt, s a proxy logjaiból egyértelműen kiderült, hogy igen, valóban kimegy a netre. Amikor pedig megláttuk, hogy hova, akkor esett le a tantusz: a komponenst aláíró tanúsítvány-kiállító webhelyére. Mint később tovább pontosítottuk, a CA fel volt ugyan véve a megbízható legfelső szintű tanúsítványok közé (házirendből), de a komponens tanúsítványában ki volt töltve az AIA mező, s a szintén ott beállított OCSP használatával ment „haza” (itt már érintettem az AIA-t). Ezzel nem is lett volna gond, de a belső hálózaton használt proxy (egy ISA) a cég előírásai miatt tele van szabályokkal (ráadásul a vas sem mai darab), így az internetre való kijutás nem azonnali. Ugyanakkor viszont a fejlesztők egy másik VLAN-on korlátlan internetet kapnak – s így már érthető a két gép közötti működés eltérése. Bizonyításképp egy új, első helyre állított ISA-szabály segítségével, amely hitelesítés nélkül kiengedte a felhasználókat a tanúsítvány-kiszolgáló irányába, sikerült a drasztikus lassulást megszüntetni – ezzel újabb frusztráló tényezőt megszüntetve.

Advertisements
Kategóriák:General, PKI Címke: , ,
  1. Lotus
    október 1, 2013 - 4:13 du.

    Ilyenkor a végén hogy van ez? Felszabadult nevetés, hátlapogatás, a marketingesek szekrényéből előkerül a céges ajándékbor stb? 😀

    • október 2, 2013 - 8:40 de.

      Változó, hogy ki hogyan reagálja le 🙂 Kipróbálod? 😉

  1. No trackbacks yet.

Vélemény, hozzászólás?

Adatok megadása vagy bejelentkezés valamelyik ikonnal:

WordPress.com Logo

Hozzászólhat a WordPress.com felhasználói fiók használatával. Kilépés / Módosítás )

Twitter kép

Hozzászólhat a Twitter felhasználói fiók használatával. Kilépés / Módosítás )

Facebook kép

Hozzászólhat a Facebook felhasználói fiók használatával. Kilépés / Módosítás )

Google+ kép

Hozzászólhat a Google+ felhasználói fiók használatával. Kilépés / Módosítás )

Kapcsolódás: %s

%d blogger ezt kedveli: