Gibt es noch irgendeinen Grund, nicht SSL/TLS zu verwenden?
Aus Serverbetreibersicht wäre dies Performance.
Performance ist übrigens ein Hauptgrund, warum die OpenSSL so weit verbreitet ist, obwohl es durchaus auch andere SSL Alternativen gibt. Die sind nur wesentlich langsamer.
Ich glaube kaum, dass es sich für den Serverbetreiber lohnt an der Verschlüsselung zu sparen. Auf heutigen Prozessoren macht sich der Overhead doch kaum bemerkbar. Außerdem muss der Serverbetreiber dann wohlmöglich auch mehr Arbeit und Rechenleistung in die Beseitigung von Problemen investieren, die durch gestohlene Zugangsdaten entstehen können, beispielsweise Spam, rechtliche Probleme usw.
Hast du einen Beleg für die Aussage mit OpenSSL? Wäre mir zumindest neu, dass beispielsweise GnuTLS _wesentlich_ (im Sinne von > 10%) langsamer ist.
Ich glaube kaum, dass es sich für den Serverbetreiber lohnt an der Verschlüsselung zu sparen.
Das hängt davon ab, ob es dem Serverbetreiber egal ist. In manchen Fällen ist es ja nur für den Konsumenten wichtig, dass verschlüsselt wird.
Auf heutigen Prozessoren macht sich der Overhead doch kaum bemerkbar.
Der Overhead zwischen Verschlüsselung und ohne macht sich sehr wohl bemerkbar. Dies liegt vor allem auch daran, das es gleich ein paar tausend Zugriffe auf Webserver sind, da macht es also die schiere Menge die an der Performance der Rechner zehren. Außerdem sind verschlüsselte Inhalte in den Proxy-Caches der ISP nutzlos, während unverschlüsselte Inhalte die Webseitenbetreiber entlasten, das spart Traffickosten.
Einige Webseitenbetreiber die Verschlüsselung anbieten leiten den Benutzer deswegen oftmals erst dann, wenn Verschlüsselung wirklich wichtig ist, auf die Verschlüsselte SSL Seite und in allen anderen Fällen wird der Webseitencontent bevorzugt unverschlüsselt an die User geschickt. GMX macht das z.B. so.
Kommt Verschlüsselung dennoch zum Zuge, dann setzen manche Anbieter sogar bewusst Kryptografieverfahren mit geringerer Keybreite ein oder bevorzugen bei Fingerprints SHA-1 anstatt z.B. SHA-256, eben weil das alles Performance kostet. Einige Webserver setzen daher auch heute noch auf das heute eigentlich nicht mehr als ausreichend sicher einzustufende RC4 Verfahren, eben deswegen, weil es sehr schnell ist.
Hast du einen Beleg für die Aussage mit OpenSSL? Wäre mir zumindest neu, dass beispielsweise GnuTLS _wesentlich_ (im Sinne von > 10%) langsamer ist.
Du kannst so einen Test durchaus selbst durchführen, beide Libs sind ja kostenlos verfügbar.
Hier hat sich mal jemand diese Mühe gemacht, leider ist GnuTLS nicht dabei, aber dafür viele andere und es ist überdeutlich, dass OpenSSL auf Geschwindigkeit hochtoptimiert wurde, wie auch die Zahlen im Vergleich zu anderen Bibliotheken in diesem Test zeigen:
Auf der lftp Mailingliste hat mal jemand OpenSSL mit GnuTLS verglichen, und da waren das nicht nur > 10 %, sondern gleich sieben mal so schnell bei wesentlich geringerer CPU Last: https://www.mail-archive.com/lftp-devel@uniyar.ac.ru/msg01487.html
Aus Serverbetreibersicht wäre dies Performance.
Performance ist übrigens ein Hauptgrund, warum die OpenSSL so weit verbreitet ist, obwohl es durchaus auch andere SSL Alternativen gibt. Die sind nur wesentlich langsamer.
Ich glaube kaum, dass es sich für den Serverbetreiber lohnt an der Verschlüsselung zu sparen. Auf heutigen Prozessoren macht sich der Overhead doch kaum bemerkbar. Außerdem muss der Serverbetreiber dann wohlmöglich auch mehr Arbeit und Rechenleistung in die Beseitigung von Problemen investieren, die durch gestohlene Zugangsdaten entstehen können, beispielsweise Spam, rechtliche Probleme usw.
Hast du einen Beleg für die Aussage mit OpenSSL? Wäre mir zumindest neu, dass beispielsweise GnuTLS _wesentlich_ (im Sinne von > 10%) langsamer ist.
In manchen Fällen ist es ja nur für den Konsumenten wichtig, dass verschlüsselt wird.
Der Overhead zwischen Verschlüsselung und ohne macht sich sehr wohl bemerkbar.
Dies liegt vor allem auch daran, das es gleich ein paar tausend Zugriffe auf Webserver sind, da macht es also die schiere Menge die an der Performance der Rechner zehren.
Außerdem sind verschlüsselte Inhalte in den Proxy-Caches der ISP nutzlos, während unverschlüsselte Inhalte die Webseitenbetreiber entlasten, das spart Traffickosten.
Einige Webseitenbetreiber die Verschlüsselung anbieten leiten den Benutzer deswegen oftmals erst dann, wenn Verschlüsselung wirklich wichtig ist, auf die Verschlüsselte SSL Seite und in allen anderen Fällen wird der Webseitencontent bevorzugt unverschlüsselt an die User geschickt.
GMX macht das z.B. so.
Du kannst so einen Test durchaus selbst durchführen, beide Libs sind ja kostenlos verfügbar.Kommt Verschlüsselung dennoch zum Zuge, dann setzen manche Anbieter sogar bewusst Kryptografieverfahren mit geringerer Keybreite ein oder bevorzugen bei Fingerprints SHA-1 anstatt z.B. SHA-256, eben weil das alles Performance kostet.
Einige Webserver setzen daher auch heute noch auf das heute eigentlich nicht mehr als ausreichend sicher einzustufende RC4 Verfahren, eben deswegen, weil es sehr schnell ist.
Hier hat sich mal jemand diese Mühe gemacht, leider ist GnuTLS nicht dabei, aber dafür viele andere und es ist überdeutlich, dass OpenSSL auf Geschwindigkeit hochtoptimiert wurde, wie auch die Zahlen im Vergleich zu anderen Bibliotheken in diesem Test zeigen:
https://panthema.net/2008/0714-cryptography-speedtest-comparison/
Auf der lftp Mailingliste hat mal jemand OpenSSL mit GnuTLS verglichen, und da waren das nicht nur > 10 %, sondern gleich sieben mal so schnell bei wesentlich geringerer CPU Last:
https://www.mail-archive.com/lftp-devel@uniyar.ac.ru/msg01487.html