Discussion :

[Bathou]

Bonjour!

Voilà le déroulement pour faire une reprise de connexion SSL pour un client:

1. Start the first SSL connection. This also creates an SSL session.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

ret = SSL_connect(ssl)

(Use SSL_read() / SSL_write() for data communication
over the SSL connection)
2. Save the SSL session information.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
sess = SSL_get1_session(ssl);
/* sess is an SSL_SESSION, and ssl is an SSL */

3. Shut down the first SSL connection.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

SSL_shutdown(ssl);

4. Create a new SSL structure.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

ssl = SSL_new(ctx);

5. Set the SSL session to a new SSL session before calling SSL_connect().

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
SSL_set_session(ssl, sess);
err = SSL_connect(ssl);

6. Start the second SSL connection with resumption of the session.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

ret = SSL_connect(ssl)

(Use SSL_read() / SSL_write() for data communication
over the SSL connection)

Pas de souci, tout fonctionne très bien : j'ai vérifié en utilisant Wireshark et j'obtiens bien ce qu'il faut...

mais j'ai quand même une question
j'ai lu que ça pouvait réduire la charge du serveur s'il acceptait beaucoup connexions SSL...
Seulement, jen evois pas en quoi ca réduit la charge du serveur si à chaque fois que le client se connecte il fait ce que j'ai mis plus haut... parce que la, il se connecte deux fois et je ne vois pas en quoi ca va réduire la charge du serveur...
est-ce que j'ai un truc qui m'a échappé...??
merci par avance pour vos réponses...

[3DArchi]

Hypothèse (donc à prendre avec modération): la négociation n'est pas la même dans la restauration de la connexion que dans la connexion initiale. La réduction de charge se situerait là alors?

[Bathou]

la seconde négociation est différente (voir pièces jointes) mais ce que je ne comprends pas c'est que dans mon programme, mon client va se connecter une première fois donc négociation normale et assez lourde, puis il va se déconnecter et se connecter une seconde fois avec une négociation plus légère. Seulement si tous mes clients se connectent de cette façon comment est ce que ça va être plus simple pour le serveur... Parce que pour lui, ca fait le double de connexion par client...

ou alors pendant le transfert des données c'est plus simple pour lui...?

[3DArchi]

Comme dit précédemment, je ne suis pas expert SSL (et de loin), mais je dirais que le volume des échanges est moindre entre la restauration et la connexion initiale. Tu as un gain sur le volume des échanges et probablement sur les calculs (gestion des clés, des certificats). Une connexion tcp toute simple, ca doit rester négligeable dans ce contexte.

[wiztricks]

Reprendre la session SSL est moins couteux que de repartir de zéro, surtout si on suppose qu'il s'agit d'un incident réseau qui touchera plusieurs "clients".

Par contre, l'espoir d'un gain côté serveur en arrêtant la connexion puis en la redémarrant (juste pour le fun, hors incident réseau) me semble vain: il faut réinitialiser un minimum la connexion SSL, puis effectuer une reprise côté application (qui utilise SSL pour échanger des données), et continuer les opérations en cours.

- W

[Bathou]

ok merci je comprends mieux!