Die Kosten von SSL

Bei web.de waren schon 2003 mehr als 80% des Datenverkehrs SSL-verschlüsselt, da dort die Policy herrschte “Paßworte werden nur verschlüsselt übertragen” und “Wenn ein Login stattgefunden hat, findet der Rest der Session bis zum Logout verschlüsselt statt”. Ich habe in einem Artikel schon einmal dargelegt, daß das rechenleistungsmäßig keine große Belastung ist - der ganze SSL-Aufwand macht etwa 1/250stel der Gesamtleistung des Systems aus.

Kosten entstehen bei SSL bei der laufenden (symmetrischen) Verschlüsselung nicht in nenneswerter Höhe, sondern nur bei der Herstellung der Verbindung, wenn asymmetrische Kryptographie verwendet wird. Dort treten sie nicht nur in Form von CPU-Verbrauch auf, sondern auch in Form von Datenmengen und Roundtrips, also Übertragungslatenzen. Aber das ist nicht nur überschaubar, sondern man kann es durch geeignetes Protokolldesign auch stark optimieren (Verbindungen halten statt neu aufbauen, Parameter cachen und so weiter), und außerdem schrauben Leute am Protokoll selbst .

Nun stellte Facebook gerade auf SSL um , und schon letztes Jahr begann Google so langsam das Licht zu sehen . Firesheep macht Druck, und HTTPS Everywhere hilft sehr.

Firmen wie F5 finden das blöd, denn natürlich geht das mit einem relativ kleinen Stapel gewöhnlicher Rechner genau wie mit einer teuren SSL Appliance, auch wenn F5 das nicht wahr haben will . Und so macht man sich bei Y-Combinators Hacker News darüber lustig. Jedenfalls ist das Problem bei SSL nicht die CPU Power .