Windows 2003 Service Pack 1 nepřináší jenom opravy chyb, které se od vydání Windows Server 2003 objevily, ale i mnohé další novinky, stejně, jako například již dříve uvedený Windows XP SP2. Krom takových novinek, které většina z vás jistě zná, jako například Security Configuration Wizard, nebo Post-Setup Security Updates je tu i pár takových, o kterých na první pohled nevíte a musíte se o nich dozvědět. Jednou z nich je i tato možnost akcelerace SSL a jeho navýšení výkonnosti až o 50%! Zní to neuvěřitelně, ale je to tak.
Největší zlepšením ve Windows 2003 SP1 SSL je to, že nyní může běžet v kernel módu. Tato volba odstraňuje ~11 přepnutí do user-mode pro SSL handshake a od teď provádí caching sessions secrets (securely). User mode už není potřeba. Ale teď pozor. Tato volba není zapnuta automaticky (kvůli tomu, že kernel mode SSL nepodporuje SSL v.2.0), každý administrator si ji případně musí zapnout sám.
Jak na to? Windows 2003 SP1 máme a nyní zbývá vyladit SSL.
Do registru přidejte tuto DWORD hodnotu:
HKLM\System\Current Control Set\Services\HTTP\Parameters\EnableKernelSsl = (DWORD)1
Potom je potřeba restartovat službu http:
net stop http
net start http
Oživeno:
Kontaktoval mě můj kamarád a odborník Mirek Knotek s otázkou, že nastavení SSL ve Windows Serveru 2003 vypadá sice dobře, ale že má právě obavu o kompatibilitu s SSL v.2.0 (která se tímto zásahem vypne) a zdali mu tím nepřestanou fungovat někteří klienti. Je potřeba přemýšlet v rovině, že pokud se bavíme například o Exchange OWA (Outlook Web Access), klientem mohou být i různá mobilní zařízení.
Jak to tedy s kompatibilitou SSL v.2.0 je?
Nejprve krátce o historii SSL, která hodně napoví. Firma Netscape vyvinula originální verzi SSL v roce 1994. Cílem bylo vyvinout šifrované spojení mezi klientem a serverem, bez ohledu na typ a verzi operačního systému. SSL bylo hned zpočátku vyvíjeno s ohledem na snadnou implementaci nových šifrovacích schémat, jakmile budou k dispozici. Příkladem může být nedávné začlenění Advanced Encryption Standard (AES), které nahradilo Data Encryption Standard (DES). O několik měsíců po SSL 1.0 přichází update na SSL 2.0 (listopad 1995). Už v tomto roce se také objevuje specifikace SSL 3.0, která se záhy stává velice populární a de facto standardem. SSL 3.0 dnes prakticky používá většina web serverů. To samé se týká všech prohlížečů. Všechny, které byly naprogramovány po Internet Explorer 3 a Netscape 3 používají primárně SSL 3.0 (ale podporují i starší verze). Nicméně doporučení jsou jasná. Z dnešního pohledu prostě starší verze neobstojí a doporučuje se přechod na verzi SSL 3.0.
Z tohoto pohledu je jasné, že zvýšení výkonu SSL a omezení zpětné kompatibility je jednoznačně výhodné a nezbývá než jej doporučit.
Pokud chcete mít stoprocentní jistotu, jestli vaše zařízení/prohlížeč podporuje SSL 3.0 (například mobilní a další), zde najdete seznam:
http://www.eucybervote.org/Reports/MSI-WP2-D7V1-V1.0-02.htm