ApacheでSSL/TLSハンドシェイクの負荷をApache Benchでテストする方法

SSL/TLS通信は、インターネット上でのセキュアな情報交換を実現するための重要なプロトコルです。しかし、SSL/TLSハンドシェイクは暗号化キーの交換や認証などの処理が含まれるため、システムに高負荷をかけることがあります。特に、大量のリクエストを処理するサーバーにおいては、パフォーマンスが低下する要因となることがあります。

本記事では、ApacheウェブサーバーとApache Bench（ab）という負荷テストツールを用いて、SSL/TLSハンドシェイクの負荷を測定する方法について詳しく解説します。テスト手順や結果の分析、さらに負荷を軽減するための最適化手法を学ぶことで、サーバー性能の向上に役立てることができます。

SSL/TLSハンドシェイクの仕組み

SSL/TLSハンドシェイクは、安全な通信を確立するための初期段階であり、クライアントとサーバー間で暗号化キーや認証情報を交換する重要なプロセスです。このプロセスにより、以降の通信が安全に暗号化される環境が整います。

ハンドシェイクのステップ

SSL/TLSハンドシェイクは以下の手順で進行します：

1. クライアントHello
   クライアントはサーバーに接続要求を送信し、対応可能なTLSバージョンや暗号スイートを提示します。
2. サーバーHello
   サーバーはクライアントの要求に応答し、使用するTLSバージョン、暗号スイート、およびデジタル証明書を提示します。
3. 証明書検証
   クライアントはサーバーから提供されたデジタル証明書を検証し、信頼できるCA（認証局）によって署名されているか確認します。
4. キー交換
   クライアントとサーバーがセッションキーを共有します。このプロセスは、RSAやECDHEなどのアルゴリズムを用いて行われます。
5. 暗号化の確立
   双方がセッションキーを基に暗号化通信を開始します。

ハンドシェイクの負荷要因

SSL/TLSハンドシェイクにはCPUやメモリを消費する以下のような処理が含まれるため、高負荷が発生する場合があります：

• 証明書の検証：証明書チェーンを遡って検証する作業が必要です。
• 鍵交換アルゴリズムの計算：RSAやECDHEなどの計算処理がサーバーに負担をかけます。
• 暗号スイートのネゴシエーション：最適な暗号スイートを選択するための処理です。

ハンドシェイクの重要性

SSL/TLSハンドシェイクは短時間で完了することが理想ですが、セキュリティを担保しつつ効率的に行う必要があります。本記事では、このプロセスの負荷を測定する方法と、軽減のための対策を解説します。

ApacheのSSL/TLS設定の基本

ApacheサーバーでSSL/TLSを使用するには、適切に設定を行う必要があります。Apacheの設定ファイル（通常はhttpd.confまたはapache2.conf）を編集することで、SSL/TLSを有効化し、必要なセキュリティ要件を満たすことが可能です。

SSL/TLSモジュールの有効化

まず、ApacheがSSL/TLSをサポートするモジュールをロードしているか確認します。以下のコマンドでモジュールを有効化します：

a2enmod ssl

モジュールが有効になったら、Apacheを再起動して変更を適用します：

systemctl restart apache2

SSL証明書の準備

SSL/TLS通信には、有効なSSL証明書が必要です。自己署名証明書または認証局（CA）によって発行された証明書を準備します。証明書ファイル（server.crt）と秘密鍵ファイル（server.key）をApacheがアクセス可能なディレクトリに配置します。

SSL/TLS設定の追加

Apacheの設定ファイルまたは仮想ホスト設定ファイル（例：/etc/apache2/sites-available/your-site.conf）にSSL/TLSの設定を追加します：

<VirtualHost *:443>
    ServerName www.example.com
    DocumentRoot /var/www/html

    SSLEngine on
    SSLCertificateFile /etc/ssl/certs/server.crt
    SSLCertificateKeyFile /etc/ssl/private/server.key
    SSLProtocol all -SSLv2 -SSLv3
    SSLCipherSuite HIGH:!aNULL:!MD5

    <Directory "/var/www/html">
        Options Indexes FollowSymLinks
        AllowOverride All
        Require all granted
    </Directory>
</VirtualHost>

この設定では、ServerNameに自分のドメイン名を指定し、証明書ファイルと秘密鍵ファイルのパスを正しく設定します。また、弱いプロトコル（SSLv2、SSLv3）は無効化し、安全な暗号スイートのみを使用するように設定しています。

設定のテストと有効化

設定ファイルにエラーがないか確認します：

apachectl configtest

問題がなければ、Apacheを再起動します：

systemctl restart apache2

動作確認

ブラウザまたはツールを使用して、サーバーのSSL/TLS通信が正しく動作しているか確認します。たとえば、以下のようなURLにアクセスします：

https://www.example.com

設定が正しい場合、SSL/TLSで保護された接続が確立されます。Apacheのログ（/var/log/apache2/access.logや/var/log/apache2/error.log）を確認して、問題が発生していないことを確認してください。

次のステップでは、このSSL/TLS設定を負荷テストする方法を解説します。

Apache Benchの概要とセットアップ

Apache Bench（ab）は、Apache HTTPサーバーに付属する負荷テストツールで、ウェブサーバーのパフォーマンスを測定するために使用されます。このツールを使えば、特定のURLに対して大量のリクエストを送信し、応答時間やサーバーの限界を評価できます。

Apache Benchの特徴

Apache Benchは以下の特徴を持っています：

• HTTPおよびHTTPSプロトコルに対応
• 高速でシンプルなテストが可能
• 同時接続数やリクエスト数を調整可能
• テキスト形式でテスト結果を出力

Apache Benchのインストール

Apache Benchは多くのLinuxディストリビューションでApache HTTPサーバーと一緒にインストールされますが、インストールされていない場合は以下のコマンドでインストールできます：

Debian/Ubuntu:

sudo apt update
sudo apt install apache2-utils

CentOS/RHEL:

sudo yum install httpd-tools

インストール後、以下のコマンドでインストールを確認します：

ab -V

バージョン情報が表示されれば、インストールは完了です。

Apache Benchの基本的な使い方

Apache Benchを使用するには、基本的に以下のコマンド形式を使用します：

ab -n <リクエスト数> -c <同時接続数> <URL>

例：100リクエストを10の同時接続で送信する場合：

ab -n 100 -c 10 https://www.example.com/

このコマンドを実行すると、以下のようなデータが出力されます：

• リクエスト数
• サーバー応答時間（平均、最小、最大）
• 転送速度

HTTPSリクエストのテスト

Apache BenchはHTTPSにも対応していますが、適切なSSL/TLSライブラリが必要です。HTTPSリクエストをテストする場合は、単にURLをhttps://で始まる形式に指定します：

ab -n 100 -c 10 https://www.example.com/

制限事項と注意点

• 負荷の影響: 負荷テストは本番環境で実施するとサーバーに大きな負担をかけるため、必ずテスト環境で行うようにしてください。
• 単一のURL: Apache Benchは一度に一つのURLのみをテスト対象とするため、複数ページを同時にテストすることはできません。
• プロキシの利用: Apache Benchでプロキシ経由のテストを行いたい場合は、追加の設定が必要です。

これでApache Benchの基本的なセットアップが完了しました。次に、具体的なSSL/TLSハンドシェイクの負荷テスト手順について解説します。

SSL/TLSハンドシェイク負荷テストの手順

SSL/TLSハンドシェイクの負荷を測定するには、Apache Benchを使用して特定のHTTPSリクエストを大量に送信し、ハンドシェイクに関連する処理時間やサーバーの負荷を評価します。以下に具体的な手順を説明します。

準備

1. ApacheサーバーのSSL/TLS設定確認
   前項で説明した方法で、ApacheサーバーにSSL/TLSが適切に設定されていることを確認します。HTTPSでアクセス可能である必要があります。
2. Apache Benchのインストール
   Apache Benchがインストールされていることを確認します（ab -Vコマンドでバージョン情報が表示されることを確認）。

基本コマンドでの負荷テスト

1. コマンドの実行
   Apache Benchを使用して、SSL/TLSが有効なURLにリクエストを送信します：

   ab -n 100 -c 10 https://www.example.com/

この例では、100件のリクエストを10の同時接続で送信します。

2. 結果の確認
   コマンド実行後に以下のようなデータが出力されます：

• Time per request (mean): 1リクエストあたりの平均時間
• Time per request (mean across all concurrent requests): 同時接続を考慮した平均時間
• Requests per second: 1秒あたりのリクエスト処理数
• Transfer rate: 転送速度

ハンドシェイクの負荷を特定するための手法

SSL/TLSハンドシェイクの負荷をより詳細に評価するには、以下の追加設定を行います：

1. 短いKeep-Aliveタイムアウトの設定
   ハンドシェイクを繰り返し実行させるため、Keep-Alive設定を無効化または短くします。Apacheの仮想ホスト設定に以下を追加します：

   KeepAliveTimeout 1

2. リクエスト数と同時接続数の調整
   ハンドシェイクの負荷を高めるには、より多くのリクエストを送信します：

   ab -n 1000 -c 50 https://www.example.com/

この例では、1000件のリクエストを50の同時接続で送信します。

ハンドシェイク関連のデータ収集

• 初回リクエストの時間計測
  初回リクエストの応答時間が長い場合、ハンドシェイクが影響している可能性があります。
• サーバーログの確認
  Apacheのエラーログやアクセスログ（通常は/var/log/apache2/error.logやaccess.log）を確認して、ハンドシェイク処理に関する情報を収集します。

負荷テストの結果分析

テスト結果をもとに以下を評価します：

• ハンドシェイクによる遅延が顕著かどうか
• サーバーが高負荷時にエラーを返していないか
• リクエストの処理速度や成功率

テスト環境で顕著な遅延やエラーが見られた場合、次項で解説する最適化手法を活用して負荷を軽減します。

テスト結果の分析と考察

SSL/TLSハンドシェイク負荷テストの結果を適切に分析することで、サーバーの性能を理解し、ボトルネックを特定することができます。以下に、Apache Benchの結果を読み解く方法と考察のポイントを説明します。

テスト結果の主要項目

Apache Benchのテスト結果には以下の重要な項目が含まれます：

1. Requests per second (リクエスト処理速度)
   1秒あたりに処理できるリクエスト数を示します。値が低い場合、サーバーがハンドシェイクや応答処理に時間を要している可能性があります。
2. Time per request (リクエストあたりの平均時間)
   1リクエストを処理するのにかかる平均時間です。

• mean: 単一リクエストの平均時間。
• mean across all concurrent requests: 同時接続全体を考慮した平均時間。

1. Failed requests (失敗したリクエスト数)
   サーバーが負荷に耐えられずエラーを返した場合、ここにカウントされます。失敗が多い場合は設定やリソースの見直しが必要です。
2. Connection Times (接続時間の分布)
   ハンドシェイクや応答の遅延が原因で、接続時間が長くなるケースを分析できます。

ハンドシェイク負荷の分析

1. リクエスト処理速度が低い場合
   SSL/TLSハンドシェイクに多くの時間がかかっている可能性があります。特に、Time per requestが高い値を示している場合、以下の要因が考えられます：

• 鍵交換アルゴリズムの計算負荷
• 証明書の検証処理

1. 接続時間のばらつき
   Connection Timesの最大値と最小値の差が大きい場合、特定のリクエストでハンドシェイクに予想以上の時間がかかっている可能性があります。
2. 失敗したリクエストが多い場合
   同時接続数がサーバーの限界を超えている可能性があります。この場合、Apacheの設定（例：MaxClientsやServerLimit）を見直す必要があります。

テスト結果をグラフ化する

結果を可視化することで、ボトルネックをより明確に把握できます。例えば、リクエスト数と応答時間の関係をプロットすることで、どの負荷レベルでパフォーマンスが低下するかを特定できます。

考察のポイント

1. TLSバージョンの影響
   TLS 1.3ではハンドシェイクのラウンドトリップ回数が削減されており、TLS 1.2と比較してハンドシェイク負荷が軽減される可能性があります。
2. キャッシュの活用
   セッションキャッシュやセッションチケットを有効にすることで、再接続時のハンドシェイク負荷を削減できます。
3. サーバーリソースの最適化
   CPUやメモリ使用率をモニタリングし、ハンドシェイクに最適なリソース配分を検討します。

次項では、これらの結果を踏まえた具体的な最適化手法について解説します。

SSL/TLSハンドシェイクの最適化手法

SSL/TLSハンドシェイクの負荷を軽減することで、サーバーのパフォーマンスを大幅に向上させることができます。以下では、具体的な最適化手法を解説します。

1. TLSバージョンの選択

TLSバージョンは通信の効率に大きく影響します。TLS 1.3ではラウンドトリップ回数が削減され、ハンドシェイクの高速化が実現されています。ApacheでTLS 1.3を使用するには、以下の設定を行います：

SSLProtocol -all +TLSv1.3 +TLSv1.2

この設定により、TLS 1.3とTLS 1.2のみが使用可能になり、古いバージョンによる負荷を軽減します。

2. セッションキャッシュの有効化

セッションキャッシュを有効にすることで、同じクライアントとの再接続時にハンドシェイクをスキップし、負荷を軽減できます。Apacheでは以下のように設定します：

SSLSessionCache shmcb:/var/cache/apache2/ssl_gcache(512000)
SSLSessionCacheTimeout 300

• SSLSessionCacheは、セッションデータを共有メモリに保存する設定です。
• SSLSessionCacheTimeoutはキャッシュの有効期限を秒単位で指定します。

3. セッションチケットの使用

セッションチケットを使用すると、サーバー側のキャッシュを不要にしつつ、高速な再接続を実現できます。Apacheでの設定例：

SSLUseStapling On
SSLStaplingCache shmcb:/var/cache/apache2/ssl_stapling(128000)

この設定は、ステープリング（証明書の状態をキャッシュする仕組み）を有効にし、セッションチケットを効率的に利用するものです。

4. 鍵交換アルゴリズムの選択

鍵交換アルゴリズムは、負荷とセキュリティのバランスを考慮して選択する必要があります。以下のように暗号スイートを指定することで、安全かつ効率的な通信を実現します：

SSLCipherSuite HIGH:!aNULL:!MD5:!3DES
SSLHonorCipherOrder On

• HIGHは高強度の暗号スイートを優先します。
• !3DESは古いアルゴリズムを無効にします。

5. OCSPステープリングの活用

証明書の有効性確認を高速化するため、OCSPステープリングを有効にします：

SSLUseStapling On
SSLStaplingCache shmcb:/var/cache/apache2/ssl_stapling(128000)

これにより、証明書の有効性確認がクライアントから直接行われることを防ぎ、通信の遅延を減少させます。

6. リソースの最適化

• マルチスレッドの利用: Apacheのeventモジュールを有効にすることで、同時接続処理の効率を向上させます。
• Keep-Aliveの調整: Keep-Aliveを有効にし、タイムアウトを適切に設定します：

  KeepAlive On
  KeepAliveTimeout 5
  MaxKeepAliveRequests 100

7. ハードウェアアクセラレーションの利用

ハードウェアベースのSSLアクセラレーション（例：専用SSLアクセラレータ）を利用することで、CPU負荷を大幅に軽減できます。

8. ログのモニタリングと調整

負荷軽減策を導入後、Apacheのログ（アクセスログとエラーログ）や、サーバーのパフォーマンスメトリクスを定期的に確認し、設定が適切かどうかを評価します。

これらの最適化手法を組み合わせることで、SSL/TLSハンドシェイクの負荷を効果的に軽減し、安定した高性能サーバーを実現することができます。次項では記事全体のまとめを行います。

まとめ

本記事では、ApacheとApache Benchを用いてSSL/TLSハンドシェイクの負荷を測定し、最適化する方法を解説しました。SSL/TLSハンドシェイクは安全な通信を確立するための重要なプロセスですが、高負荷になる場合があります。

ハンドシェイクの仕組みやApacheでのSSL/TLS設定、Apache Benchを使った負荷テストの手順を具体的に説明しました。また、TLSバージョンの選択やセッションキャッシュ、暗号スイートの調整、OCSPステープリングの活用など、負荷軽減のための最適化手法も詳しく紹介しました。

適切な負荷テストと最適化を行うことで、サーバーのパフォーマンスを向上させることが可能です。これらの手法を活用し、安全かつ効率的なサーバー運用を実現してください。