Qu'est-ce que l'agrafage OCSP et quels sont les avantages en termes de vitesse pour un site Web ? - ūüŹÜ Serveurs g√©r√©s
12 mars 2023

Qu'est-ce que l'agrafage OCSP et quels sont les avantages en termes de vitesse pour un site Web ?

Comment éliminer les temps d'attente pour la vérification de la révocation des certificats à l'aide de la méthode d'agrafage OCSP.

OCSP-certificat-agrafage

La s√©curit√© des communications est un sujet d'une importance fondamentale, en particulier √† une √©poque o√Ļ les informations sont √©chang√©es sur Internet √† un rythme sans cesse croissant. La cryptographie √† cl√© publique est une technologie qui joue un r√īle essentiel dans la protection des informations √©chang√©es sur Internet.

La cryptographie à clé publique, également connue sous le nom de cryptographie asymétrique, utilise deux clés différentes pour chiffrer et déchiffrer les informations : une clé publique et une clé privée. La clé publique est accessible à tous, tandis que la clé privée n'est connue que du propriétaire de la clé. Cela permet de protéger les informations échangées sur les réseaux publics tels qu'Internet, empêchant quiconque de déchiffrer les messages sans la clé privée.

L'un des moyens les plus courants d'utiliser la cryptographie à clé publique consiste à utiliser le protocole HTTPS. HTTPS utilise le cryptage SSL/TLS pour sécuriser la communication entre un serveur Web et un navigateur, ce qui rend difficile pour les pirates d'intercepter et de déchiffrer les informations échangées entre le site Web et le navigateur. HTTPS est essentiel pour protéger les données sensibles telles que les informations de paiement et les informations d'identification des utilisateurs.

HTTPS (HyperText Transfer Protocol Secure) est une version sécurisée du protocole HTTP utilisé pour la communication entre un serveur Web et un navigateur. HTTPS utilise le cryptage SSL/TLS (Secure Sockets Layer/Transport Layer Security) pour protéger la confidentialité et la sécurité des informations échangées entre le serveur Web et le navigateur.

Un certificat SSL (Secure Sockets Layer) est un fichier de données utilisé pour authentifier l'identité du site Web et crypter les informations échangées entre le serveur Web et le navigateur. Le certificat SSL contient des informations telles que le nom de domaine du site Web, la date d'expiration et la clé publique du site Web.

Le certificat SSL est émis par une autorité de certification (CA), un organisme qui garantit l'authenticité du site Web et la validité du certificat SSL. Lorsqu'un navigateur accède à un site Web sécurisé par HTTPS, il vérifie la validité du certificat SSL du site Web et, s'il est valide, établit une connexion sécurisée avec le serveur Web à l'aide du cryptage SSL/TLS.

En termes simples, HTTPS et un certificat SSL sont essentiels pour garantir la sécurité et la confidentialité des informations échangées entre un site Web et un navigateur. Ils protègent contre le vol d'informations sensibles, les cyberattaques et garantissent l'authenticité du site.

Le protocole Protocole de statut de certificat en ligne (OCSP) est un mécanisme utilisé pour vérifier si un certificat SSL/TLS a été révoqué ou non. Pratiquement, chaque fois qu'un navigateur se connecte à un site Web sécurisé par SSL/TLS, le certificat est vérifié pour s'assurer qu'il n'a pas été révoqué. Ce processus peut prendre un certain temps, car le navigateur doit contacter le serveur OCSP pour vérifier l'état du certificat.

Pour réduire le temps de connexion et améliorer la vitesse de chargement du site, le mécanisme d'agrafage OCSP a été développé. Dans cet article, nous allons explorer ce qu'est l'agrafage OCSP et quels avantages il peut offrir en termes de vitesse pour un site Web.

Qu'est-ce qu'OCSP et à quoi ça sert ?

Le protocole OCSP (Online Certificate Status Protocol) est un protocole de sécurité utilisé pour vérifier l'état de validité d'un certificat numérique SSL/TLS. Le protocole permet de vérifier la validité d'un certificat numérique en temps réel, sans avoir à s'appuyer sur une liste de révocation de certificats (CRL).

Traditionnellement, une CRL contenant la liste des certificats révoqués était utilisée pour vérifier la validité d'un certificat numérique. Le problème avec cette solution est que la CRL doit être mise à jour régulièrement, ce qui peut poser problème lorsqu'il s'agit d'un grand nombre de certificats. De plus, l'accès à la CRL nécessite une connexion réseau, ce qui peut ralentir la vérification du certificat.

OCSP résout ces problèmes en permettant aux clients de demander l'état de validité d'un certificat numérique directement auprès du serveur OCSP, qui répond avec l'état du certificat. Ce processus est connu sous le nom d'agrafage OCSP.

Fondamentalement, lorsqu'un navigateur accède à un site Web sécurisé par SSL/TLS, le serveur envoie également une réponse OCSP avec le certificat. De cette façon, le navigateur peut vérifier immédiatement l'état de validité du certificat sans avoir à établir une connexion supplémentaire avec le serveur OCSP.

Qu'est-ce que l'agrafage OCSP ?

L'agrafage OCSP est un mécanisme qui permet au serveur Web d'envoyer la réponse de vérification de l'état du certificat SSL/TLS directement au navigateur, éliminant ainsi le besoin de contacter le serveur OCSP. Essentiellement, le serveur Web "imprime" la réponse OCSP à la connexion SSL/TLS, éliminant ainsi la nécessité pour le navigateur de faire une demande OCSP distincte.

Agrafage OCSP

En d'autres termes, le serveur Web hébergeant le site Web met régulièrement à jour la réponse OCSP pour le certificat SSL/TLS et "agrafe" (c'est-à-dire bloque) cette réponse dans la réponse HTTPS pendant le processus de prise de contact SSL/TLS. De cette façon, le navigateur reçoit la réponse OCSP avec la réponse HTTPS, éliminant ainsi le besoin d'une requête OCSP distincte.

Quels sont les avantages de l'agrafage OCSP ?

L'agrafage OCSP offre plusieurs avantages en termes de vitesse et de s√©curit√© pour un site Web. Voici quelques-unes des principales raisons pour lesquelles l'agrafage OCSP est devenu de plus en plus populaire aupr√®s des propri√©taires de sites Web :

Améliorer la vitesse de chargement du site Web

Comme mentionn√© ci-dessus, l'utilisation de l'agrafage OCSP peut r√©duire consid√©rablement votre temps de connexion et am√©liorer la vitesse de chargement du site Web. √Čtant donn√© que le navigateur n'a pas besoin de contacter le serveur OCSP s√©par√©ment pour v√©rifier l'√©tat du certificat, l'agrafage OCSP r√©duit le nombre de requ√™tes r√©seau n√©cessaires pour √©tablir une connexion SSL/TLS. Cela signifie que le site Web se charge plus rapidement, ce qui am√©liore l'exp√©rience utilisateur.

Bien que le gain obtenu puisse sembler tr√®s faible, d'apr√®s nos benchmarks sur les connexions de 100 m√©gabits, nous avons eu une am√©lioration indicative de 10 √† 15 ms, il est √©galement vrai que dans des cas d'optimisations tr√®s extr√™mes et maniaques (comme cela se produit, par exemple, dans tous nos clients avec des produits d'√©dition) √©conomisant 10 √† 15 ms conduit √† un temps de r√©ponse dans le navigateur de moins de 40 ms l√† o√Ļ 60 ms √©taient n√©cessaires.

Bien qu'il puisse s'agir d'une caract√©ristique n√©glig√©e et n√©gligeable lorsqu'il s'agit d'un TTFB sup√©rieur √† 60 ms, il est vrai qu'avec le Protocole QUIC devient la cerise sur le g√Ęteau pour baisser encore le temps de latence des r√©ponses des Autorit√©s de Certification dont on retrouve les principales dans le graphique ci-dessus.

Protège contre les attaques OCSP

L'utilisation de l'agrafage OCSP prot√®ge √©galement le site Web des attaques OCSP. √Čtant donn√© que la r√©ponse OCSP est envoy√©e directement du serveur Web au navigateur, il n'est pas possible d'attaquer le serveur OCSP √† l'aide d'attaques de l'intercepteur ou d'attaques par d√©ni de service (DoS) pour perturber les r√©ponses OCSP.

Réduit la latence de connexion

Enfin, l'utilisation de l'agrafage OCSP r√©duit √©galement la latence de connexion. √Čtant donn√© que la r√©ponse OCSP est agraf√©e √† la connexion SSL/TLS, le navigateur re√ßoit la r√©ponse OCSP avec la r√©ponse HTTPS pendant le processus de prise de contact. Cela signifie que la r√©ponse OCSP est pr√™te et disponible lorsque le navigateur doit v√©rifier l'√©tat du certificat, ce qui r√©duit le temps de latence entre la demande du navigateur et la r√©ponse du serveur.

Comment impl√©menter l'agrafage OCSP sur le site Web ?

La mise en Ňďuvre de l'agrafage OCSP d√©pend du serveur Web utilis√© pour h√©berger le site Web. Cependant, la plupart des serveurs Web prennent en charge l'agrafage OCSP, notamment Apache, Nginx, IIS et autres. En g√©n√©ral, la mise en Ňďuvre de l'agrafage OCSP implique deux √©tapes principales :

  1. Activer l'agrafage OCSP sur le serveur Web

La premi√®re √©tape consiste √† activer l'agrafage OCSP sur le serveur Web. En r√®gle g√©n√©rale, cela n√©cessite l'ajout d'une ligne de configuration au fichier de configuration du serveur Web. Par exemple, si vous utilisez Apache, vous pouvez activer l'agrafage OCSP en ajoutant la ligne suivante √† votre fichier de configuration :

SSLUtiliser l'agrafage sur

  1. Vérifier que l'agrafage OCSP est fonctionnel

La deuxième étape consiste à vérifier que l'agrafage OCSP fonctionne sur le site Web. Cela peut être fait à l'aide d'outils de test de connexion SSL/TLS en ligne, tels que SSL Labs. Ces outils fournissent des informations détaillées sur la configuration de votre connexion SSL/TLS, y compris l'activation de l'agrafage OCSP.

Labs SSL Qualys

Tous nos serveurs Web sont configurés pour prendre en charge l'agrafage OCSP et les meilleures technologies d'accélération Web de classe entreprise.

Vous avez des doutes ? Vous ne savez pas par o√Ļ commencer ? Contactez-nous


Nous avons toutes les réponses à vos questions pour vous aider à faire le bon choix.

Discute avec nous

Discutez directement avec notre support avant-vente.

0256569681

Contactez-nous par téléphone pendant les heures de bureau 9h30 - 19h30

Contactez-nous en ligne

Ouvrez une demande directement dans l'espace contact.

INFORMATIONS

ManagedServer.it est le premier fournisseur italien de solutions d'hébergement hautes performances. Notre modèle d'abonnement est abordable et prévisible, afin que les clients puissent accéder à nos technologies d'hébergement fiables, à nos serveurs dédiés et au cloud. ManagedServer.it offre également d'excellents services d'assistance et de conseil sur l'hébergement des principaux CMS Open Source tels que WordPress, WooCommerce, Drupal, Prestashop, Magento.

JUSTE UN MOMENT !

Souhaitez-vous voir comment votre WooCommerce fonctionne sur nos syst√®mes sans avoir √† migrer quoi que ce soit ? 

Entrez l'adresse de votre site WooCommerce et vous obtiendrez une démonstration navigable, sans avoir à faire absolument quoi que ce soit et entièrement gratuite.

Non merci, mes clients préfèrent le site lent.
Remonter en haut