Archívum

Posts Tagged ‘ocx’

Tanúsítvány miatti lassulás

szeptember 18, 2013 2 hozzászólás

Adott cégnél panaszkodtak a kollégák, hogy egy adott alkalmazás lassan indul el. Mindez azért volt furcsa, mert igaz, hogy böngészőt használnak, de az a helyi kiszolgálókra csatlakozott, onnan töltötte be az adatokat. S egyértelműen látszott, hogy míg a fejlesztőknél villámgyorsan betöltődik az oldal, a felhasználók esetén legalább 2 perc kellett elteljen.

A kérdés körbejárása közben derült ki, hogy gyakorlatilag nem is az oldallal van baj, hanem annak egy adott részével. Ott egy Java-alkalmazás futott le, amelyik meghívott egy digitálisan aláírt .ocx komponenst, s ennek betöltése során jött a hosszú várakozási idő.

A kollégák körbejárása, majd később a közös nyomozás nem volt egyszerű. A Java verziók stimmeltek, egyértelmű volt, hogy a komponens betöltődik (tehát korrekt módon lett regisztrálva) – de a lassúság valóban zavaró volt. A jogosultságok ellenőrzése szintén nem hozott eredményt, ha egy fejlesztő jelentkezett be a felhasználó gépén, akkor azon a gépen nála is lassú volt.

Az egyik jelentős különbség, ami alapján el tudtunk indulni, az a két gép hálózati csatlakozása közötti eltérés. A fejlesztők egy teljesen más hálózatra csatlakoznak, amelynek van ugyan némi átjárása a belső hálózatra, de korlátozott módon. Ezért egy fejlesztői gépet – megfelelő ellenőrzés után – rákötöttünk a belső hálózatra, s úgy próbáltuk elérni a kért weboldalt. S íme, máris jött az első nyom: az internetre akart csatlakozni, ehhez a belső hálózaton használt proxy-hoz kérte a név/jelszó párost. Akár megkapta, akár nem, tovább lehetett lépni, s betöltődött a kért komponens – de felmerült a kérdés, hogy ha végig belső hálón vagyunk, miért is akar kimenni?

A kérdés megválaszolása érdekében egy „igazi” belső hálós géppel próbáltuk ki ugyanezt, s a proxy logjaiból egyértelműen kiderült, hogy igen, valóban kimegy a netre. Amikor pedig megláttuk, hogy hova, akkor esett le a tantusz: a komponenst aláíró tanúsítvány-kiállító webhelyére. Mint később tovább pontosítottuk, a CA fel volt ugyan véve a megbízható legfelső szintű tanúsítványok közé (házirendből), de a komponens tanúsítványában ki volt töltve az AIA mező, s a szintén ott beállított OCSP használatával ment „haza” (itt már érintettem az AIA-t). Ezzel nem is lett volna gond, de a belső hálózaton használt proxy (egy ISA) a cég előírásai miatt tele van szabályokkal (ráadásul a vas sem mai darab), így az internetre való kijutás nem azonnali. Ugyanakkor viszont a fejlesztők egy másik VLAN-on korlátlan internetet kapnak – s így már érthető a két gép közötti működés eltérése. Bizonyításképp egy új, első helyre állított ISA-szabály segítségével, amely hitelesítés nélkül kiengedte a felhasználókat a tanúsítvány-kiszolgáló irányába, sikerült a drasztikus lassulást megszüntetni – ezzel újabb frusztráló tényezőt megszüntetve.

Kategóriák:General, PKI Címkék: , ,