RESTful APIのSSLはどれくらいの費用がかかりますか？

Question

私はRESTfulなAPIを作成していますが、各リクエストがSSLを使用して行われる場合、サーバーの計算コストがどれくらいかと思っていますか？おそらく定量化は難しいですが、SSL以外のリクエストと比較すると便利です（たとえば、1つのSSLは30件の非SSLリクエストと同じくらい高価です）。

SSL接続を確立するには、両方の当事者が公開鍵と秘密鍵を生成し、それらを互いに共有し、通信を開始する必要があると思います。 RESTful APIを使用している場合、このプロセスは各リクエストで行われますか？あるいは、あるホストのキーを一定の期間再利用する何らかのキャッシングがあります（もしそうなら、期限が切れるまでの時間？）。

最後に質問したのは、Facebookに接続しているアプリを作っているのですが、誰かのFacebookアカウントにアクセス権を与えるアクセストークンがいくつかあります。暗号化されていない接続上のこれらのアクセストークン？確かに、ユーザー名/パスワードのコンボだけでアクセストークンを保護し、SSL接続を強制する必要があります。しかし、そうではありません。

EDIT：facebookは、実際には、access_tokenが送信されているときは常にHTTPS接続を強制します。次のように

Answer 1

http://www.imperialviolet.org/2010/06/25/overclocking-ssl.html

、SSL/TLSは、接続ごとにメモリの10キロバイトより少ないCPU負荷の1％未満、を占め、の2％未満ネットワークオーバーヘッド。多くの人々は、SSLが多くのCPU時間を要すると考えており、上記の数字（初めて公開された）がそれを払拭するのに役立つことを願っています。

ここで読書を止めれば、1つのことを覚えておく必要があります.SSL/TLSは計算上高価ではありません。

Answer 2

SSL処理はおおよそである：

• サーバ（および必要に応じてクライアント）を一緒に署名されたチャレンジと、証明書を使用して（発生していない、既存の）公開鍵を提示します。相手は、署名（その数学的妥当性、CAまでの証明書パス、失効ステータス、...）を検証して相手が誰であるかを確かめます。

• 認証された当事者の間で、秘密のセッションキーが（例えば、Diffie Hellmanアルゴリズムを使用して）ネゴシエートされます。

• 当事者は、これがここまで高価なプロトコルであり、ソケットが確立されるたびに発生した暗号化通信に

を切り替えます。 「相手側の人」のチェックをキャッシュすることはできません。このため、永続ソケット（RESTのイベント）を行う必要があります。

Answer 3

mtrautはSSLの仕組みを説明しましたが、TLS がセッションの再開をサポートしているという事実を省略しています。ただし、セッションの再開がプロトコル自体と多くの準拠サーバーでサポートされている場合でも、クライアント側の実装では常にサポートされているわけではありません。だから、あなたはレジュームに頼るべきではなく、できるだけ永続的なセッションを保つ方がよいでしょう。

一方、SSLハンドシェイクは今日では非常に速く（約10ミリ秒）、ほとんどの場合、最大のボトルネックではありません。私たちの[Googleの編]生産フロントエンドマシンで