![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[IBM i]](../images/iseries.gif)
Sugerencias sobre el rendimiento de la capa de sockets seguros
Utilice esta página para obtener información acerca de las recomendaciones de rendimiento SSL (Capa de sockets seguros) Tenga siempre en cuenta que las cuestiones de rendimiento suelen implicar encontrar el equilibrio entre función y velocidad. Por lo general, cuantas más funciones y procesos haya menor será el rendimiento.
- Acoplamiento
- Cifrado y descifrado masivo
Cuando se establece una conexión SSL, se produce un reconocimiento SSL. Cuando se realiza la conexión, SSL ejecuta un cifrado y descifrado masivo para cada lectura/escritura. El coste de rendimiento de un acoplamiento SSL es mayor que el de dicho cifrado y descifrado masivo.
Para mejorar el rendimiento de SSL, disminuya la cantidad de acoplamientos y conexiones SSL.
Al disminuir el número de conexiones se aumenta el rendimiento de la comunicación segura por medio de conexiones SSL, así como el de la comunicación no segura a través de conexiones TCP/IP (Transmission Control Protocol/Internet Protocol) sencillas. Una forma de disminuir las conexiones SSL individuales es utilizar un navegador con soporte para HTTP 1.1. La disminución de las conexiones SSL individuales no será posible si no se puede actualizar a HTTP 1.1.
- Compruebe que el número máximo de conexiones keep-alive (activas) sea, como mínimo, igual al número
máximo de solicitudes por hebra del servidor web (o el número máximo de procesos para
IBM® HTTP Server en
UNIX). Asegúrese de que el plug-in del servidor web es capaz de obtener una conexión activa para cada conexión simultánea que se pueda realizar con el servidor de aplicaciones. De lo contrario, el servidor de aplicaciones cierra la conexión cuando se procesa una solicitud individual. Además, el número máximo de hebras de la agrupación de hebras del contenedor web debe ser mayor que el número máximo de acciones de mantener activo, para evitar que las conexiones activas consuman las hebras del contenedor web.Nota: Los transportes de HTTP están en desuso. Para obtener instrucciones sobre cómo establecer un valor de Número máximo de acciones de mantener activo para las configuraciones basadas en canales, consulte Valores de canal de transporte HTTP.
- Aumente el número máximo de solicitudes por conexión activa. El valor por omisión es 100, lo que quiere decir que el servidor de aplicaciones cierra la conexión desde el plug-in tras 100 peticiones. A continuación, el plug-in debe abrir una conexión nueva. El objetivo de este parámetro es evitar el rechazo de ataques de servicio al conectar al servidor de aplicaciones, y evitar el envío continuo de solicitudes para bloquear las hebras del servidor de aplicaciones.
- Utilice aceleradores de hardware si el sistema realiza varios acoplamientos SSL.
Los aceleradores de hardware que están soportados actualmente por WebSphere Application Server aumentan el rendimiento del reconocimiento SSL, no el cifrado y el descifrado masivo. Un acelerador beneficia al servidor web, ya que las conexiones del servidor web son de corta duración. El resto de conexiones SSL en WebSphere Application Server son de larga duración.
IBM Cryptographic Coprocessor no recibe soporte para su uso fuera de WebSphere Application Server. No obstante, puede utilizar IBM Cryptographic Coprocessor para mejorar el rendimiento SSL de otros productos como, por ejemplo, IBM HTTP Server para iSeries de Apache.
- Utilizar una suite de cifrado alternativo con un rendimiento mejor.
El rendimiento de una suite de cifrado es diferente en el software y el hardware. Sólo porque una suite de cifrado tiene un rendimiento mejor en software no quiere decir que dicha suite tendrá también mejor rendimiento en hardware. Algunos algoritmos no suelen ser eficaces en hardware ,por ejemplo, DES (Data Encryption Standard)y 3DES (triple-strength DES); no obstante un hardware especializado puede proporcionar implementaciones eficaces de estos mismos algoritmos.
El rendimiento de cifrado y descifrado masivo se ve afectado por la suite de cifrado que se utilice para una conexión SSL individual. El diagrama siguiente muestra el rendimiento de cada suite de cifrado. El software de prueba que calcula los datos es JSSE (Java™ Secure Socket Extension) tanto para el software del cliente como del servidor, que no utiliza soporte para hardware criptográfico. La prueba no incluye el tiempo de establecimiento de una conexión, si no solamente el tiempo para la transmisión de datos a través de la conexión establecida. Por lo tanto, los datos muestran el rendimiento de SSL relativo de varias suites de cifrado para conexiones de ejecución larga.
Antes de establecer una conexión, el cliente habilita una suite de cifrado única para cada prueba. Una vez establecida la conexión, el cliente cuenta el tiempo que tarda en grabar un entero en el servidor y el tiempo que tarda el servidor en grabar el número de bytes especificado de vuelta al cliente. Cambiar la cantidad de datos apenas afecta al rendimiento relativo de las suite de cifrado.
- El rendimiento del cifrado masivo sólo se ve afectado por la parte que va después de WITH en el nombre de la suite de cifrado, ya que la parte anterior a WITH identifica el algoritmo que se utiliza sólo durante el reconocimiento SSL.
- MD5 y SHA (Secure Hash Algorithm) son dos algoritmos hash que se utilizan para proporcionar integridad en los datos. MD5 es generalmente más rápido que SHA, aunque SHA es más seguro que MD5.
- DES y RC2 son más lentos que RC4. Triple DES es el más seguro, pero tiene un alto coste de rendimiento cuando sólo se utiliza software.
- La suite de cifrado que proporciona la mejor tasa rendimiento/seguridad es SSL_RSA_WITH_RC4_128_MD5. Aunque SSL_RSA_EXPORT_WITH_RC4_40_MD5 es desde un punto de vista criptográfico más débil que RSA_WITH_RC4_128_MD5, el rendimiento para cifrado masivo es el mismo. Por lo tanto, siempre que la conexión SSL sea una conexión larga, la diferencia de rendimiento de los niveles de seguridad medio y alto apenas es perceptible. Se recomienda utilizar el nivel de seguridad alto en vez del medio, para todos los componentes involucrados en la comunicación sólo entre productos WebSphere Application Server. Asegúrese que las conexiones son conexiones de larga duración.