12 mars 2023

Qu'est-ce que l'agrafage OCSP et quels sont les avantages en termes de vitesse pour un site Web ?

Comment éliminer les temps d'attente pour la vérification de la révocation des certificats à l'aide de la méthode d'agrafage OCSP.

OCSP-certificat-agrafage

La sécurité des communications est un sujet d'une importance fondamentale, en particulier à une époque où les informations sont échangées sur Internet à un rythme sans cesse croissant. La cryptographie à clé publique est une technologie qui joue un rôle essentiel dans la protection des informations échangées sur Internet.

La cryptographie à clé publique, également connue sous le nom de cryptographie asymétrique, utilise deux clés différentes pour chiffrer et déchiffrer les informations : une clé publique et une clé privée. La clé publique est accessible à tous, tandis que la clé privée n'est connue que du propriétaire de la clé. Cela permet de protéger les informations échangées sur les réseaux publics tels qu'Internet, empêchant quiconque de déchiffrer les messages sans la clé privée.

L'un des moyens les plus courants d'utiliser la cryptographie à clé publique consiste à utiliser le protocole HTTPS. HTTPS utilise le cryptage SSL/TLS pour sécuriser la communication entre un serveur Web et un navigateur, ce qui rend difficile pour les pirates d'intercepter et de déchiffrer les informations échangées entre le site Web et le navigateur. HTTPS est essentiel pour protéger les données sensibles telles que les informations de paiement et les informations d'identification des utilisateurs.

HTTPS (HyperText Transfer Protocol Secure) est une version sécurisée du protocole HTTP utilisé pour la communication entre un serveur Web et un navigateur. HTTPS utilise le cryptage SSL/TLS (Secure Sockets Layer/Transport Layer Security) pour protéger la confidentialité et la sécurité des informations échangées entre le serveur Web et le navigateur.

Un certificat SSL (Secure Sockets Layer) est un fichier de données utilisé pour authentifier l'identité du site Web et crypter les informations échangées entre le serveur Web et le navigateur. Le certificat SSL contient des informations telles que le nom de domaine du site Web, la date d'expiration et la clé publique du site Web.

Le certificat SSL est émis par une autorité de certification (CA), un organisme qui garantit l'authenticité du site Web et la validité du certificat SSL. Lorsqu'un navigateur accède à un site Web sécurisé par HTTPS, il vérifie la validité du certificat SSL du site Web et, s'il est valide, établit une connexion sécurisée avec le serveur Web à l'aide du cryptage SSL/TLS.

En termes simples, HTTPS et un certificat SSL sont essentiels pour garantir la sécurité et la confidentialité des informations échangées entre un site Web et un navigateur. Ils protègent contre le vol d'informations sensibles, les cyberattaques et garantissent l'authenticité du site.

Le protocole Protocole de statut de certificat en ligne (OCSP) est un mécanisme utilisé pour vérifier si un certificat SSL/TLS a été révoqué ou non. Pratiquement, chaque fois qu'un navigateur se connecte à un site Web sécurisé par SSL/TLS, le certificat est vérifié pour s'assurer qu'il n'a pas été révoqué. Ce processus peut prendre un certain temps, car le navigateur doit contacter le serveur OCSP pour vérifier l'état du certificat.

Pour réduire le temps de connexion et améliorer la vitesse de chargement du site, le mécanisme d'agrafage OCSP a été développé. Dans cet article, nous allons explorer ce qu'est l'agrafage OCSP et quels avantages il peut offrir en termes de vitesse pour un site Web.

Qu'est-ce qu'OCSP et à quoi ça sert ?

Le protocole OCSP (Online Certificate Status Protocol) est un protocole de sécurité utilisé pour vérifier l'état de validité d'un certificat numérique SSL/TLS. Le protocole permet de vérifier la validité d'un certificat numérique en temps réel, sans avoir à s'appuyer sur une liste de révocation de certificats (CRL).

Traditionnellement, une CRL contenant la liste des certificats révoqués était utilisée pour vérifier la validité d'un certificat numérique. Le problème avec cette solution est que la CRL doit être mise à jour régulièrement, ce qui peut poser problème lorsqu'il s'agit d'un grand nombre de certificats. De plus, l'accès à la CRL nécessite une connexion réseau, ce qui peut ralentir la vérification du certificat.

OCSP résout ces problèmes en permettant aux clients de demander l'état de validité d'un certificat numérique directement auprès du serveur OCSP, qui répond avec l'état du certificat. Ce processus est connu sous le nom d'agrafage OCSP.

Fondamentalement, lorsqu'un navigateur accède à un site Web sécurisé par SSL/TLS, le serveur envoie également une réponse OCSP avec le certificat. De cette façon, le navigateur peut vérifier immédiatement l'état de validité du certificat sans avoir à établir une connexion supplémentaire avec le serveur OCSP.

Qu'est-ce que l'agrafage OCSP ?

L'agrafage OCSP est un mécanisme qui permet au serveur Web d'envoyer la réponse de vérification de l'état du certificat SSL/TLS directement au navigateur, éliminant ainsi le besoin de contacter le serveur OCSP. Essentiellement, le serveur Web "imprime" la réponse OCSP à la connexion SSL/TLS, éliminant ainsi la nécessité pour le navigateur de faire une demande OCSP distincte.

Agrafage OCSP

En d'autres termes, le serveur Web hébergeant le site Web met régulièrement à jour la réponse OCSP pour le certificat SSL/TLS et "agrafe" (c'est-à-dire bloque) cette réponse dans la réponse HTTPS pendant le processus de prise de contact SSL/TLS. De cette façon, le navigateur reçoit la réponse OCSP avec la réponse HTTPS, éliminant ainsi le besoin d'une requête OCSP distincte.

Quels sont les avantages de l'agrafage OCSP ?

L'agrafage OCSP offre plusieurs avantages en termes de vitesse et de sécurité pour un site Web. Voici quelques-unes des principales raisons pour lesquelles l'agrafage OCSP est devenu de plus en plus populaire auprès des propriétaires de sites Web :

Améliorer la vitesse de chargement du site Web

Comme mentionné ci-dessus, l'utilisation de l'agrafage OCSP peut réduire considérablement votre temps de connexion et améliorer la vitesse de chargement du site Web. Étant donné que le navigateur n'a pas besoin de contacter le serveur OCSP séparément pour vérifier l'état du certificat, l'agrafage OCSP réduit le nombre de requêtes réseau nécessaires pour établir une connexion SSL/TLS. Cela signifie que le site Web se charge plus rapidement, ce qui améliore l'expérience utilisateur.

Bien que le gain obtenu puisse sembler très faible, d'après nos benchmarks sur les connexions de 100 mégabits, nous avons eu une amélioration indicative de 10 à 15 ms, il est également vrai que dans des cas d'optimisations très extrêmes et maniaques (comme cela se produit, par exemple, dans tous nos clients avec des produits d'édition) économisant 10 à 15 ms conduit à un temps de réponse dans le navigateur de moins de 40 ms là où 60 ms étaient nécessaires.

Bien qu'il puisse s'agir d'une caractéristique négligée et négligeable lorsqu'il s'agit d'un TTFB supérieur à 60 ms, il est vrai qu'avec le Protocole QUIC devient la cerise sur le gâteau pour baisser encore le temps de latence des réponses des Autorités de Certification dont on retrouve les principales dans le graphique ci-dessus.

Protège contre les attaques OCSP

L'utilisation de l'agrafage OCSP protège également le site Web des attaques OCSP. Étant donné que la réponse OCSP est envoyée directement du serveur Web au navigateur, il n'est pas possible d'attaquer le serveur OCSP à l'aide d'attaques de l'intercepteur ou d'attaques par déni de service (DoS) pour perturber les réponses OCSP.

Réduit la latence de connexion

Enfin, l'utilisation de l'agrafage OCSP réduit également la latence de connexion. Étant donné que la réponse OCSP est agrafée à la connexion SSL/TLS, le navigateur reçoit la réponse OCSP avec la réponse HTTPS pendant le processus de prise de contact. Cela signifie que la réponse OCSP est prête et disponible lorsque le navigateur doit vérifier l'état du certificat, ce qui réduit le temps de latence entre la demande du navigateur et la réponse du serveur.

Comment implémenter l'agrafage OCSP sur le site Web ?

La mise en œuvre de l'agrafage OCSP dépend du serveur Web utilisé pour héberger le site Web. Cependant, la plupart des serveurs Web prennent en charge l'agrafage OCSP, notamment Apache, Nginx, IIS et autres. En général, la mise en œuvre de l'agrafage OCSP implique deux étapes principales :

  1. Activer l'agrafage OCSP sur le serveur Web

La première étape consiste à activer l'agrafage OCSP sur le serveur Web. En règle générale, cela nécessite l'ajout d'une ligne de configuration au fichier de configuration du serveur Web. Par exemple, si vous utilisez Apache, vous pouvez activer l'agrafage OCSP en ajoutant la ligne suivante à votre fichier de configuration :

SSLUtiliser l'agrafage sur

  1. Vérifier que l'agrafage OCSP est fonctionnel

La deuxième étape consiste à vérifier que l'agrafage OCSP fonctionne sur le site Web. Cela peut être fait à l'aide d'outils de test de connexion SSL/TLS en ligne, tels que SSL Labs. Ces outils fournissent des informations détaillées sur la configuration de votre connexion SSL/TLS, y compris l'activation de l'agrafage OCSP.

Labs SSL Qualys

Tous nos serveurs Web sont configurés pour prendre en charge l'agrafage OCSP et les meilleures technologies d'accélération Web de classe entreprise.

Vous avez des doutes ? Vous ne savez pas par où commencer ? Contactez-nous !

Nous avons toutes les réponses à vos questions pour vous aider à faire le bon choix.

Discute avec nous

Discutez directement avec notre support avant-vente.

0256569681

Contactez-nous par téléphone pendant les heures de bureau 9h30 - 19h30

Contactez-nous en ligne

Ouvrez une demande directement dans l'espace contact.

INFORMATIONS

Managed Server Srl est un acteur italien leader dans la fourniture de solutions système GNU/Linux avancées orientées vers la haute performance. Avec un modèle d'abonnement peu coûteux et prévisible, nous garantissons que nos clients ont accès à des technologies avancées en matière d'hébergement, de serveurs dédiés et de services cloud. En plus de cela, nous proposons des conseils système sur les systèmes Linux et une maintenance spécialisée en SGBD, sécurité informatique, Cloud et bien plus encore. Nous nous distinguons par notre expertise dans l'hébergement de CMS Open Source de premier plan tels que WordPress, WooCommerce, Drupal, Prestashop, Joomla, OpenCart et Magento, soutenus par un service d'assistance et de conseil de haut niveau adapté aux administrations publiques, aux PME et à toutes tailles.

Red Hat, Inc. détient les droits de Red Hat®, RHEL®, RedHat Linux® et CentOS® ; AlmaLinux™ est une marque commerciale d'AlmaLinux OS Foundation ; Rocky Linux® est une marque déposée de la Rocky Linux Foundation ; SUSE® est une marque déposée de SUSE LLC ; Canonical Ltd. détient les droits sur Ubuntu® ; Software in the Public Interest, Inc. détient les droits sur Debian® ; Linus Torvalds détient les droits sur Linux® ; FreeBSD® est une marque déposée de The FreeBSD Foundation ; NetBSD® est une marque déposée de la Fondation NetBSD ; OpenBSD® est une marque déposée de Theo de Raadt. Oracle Corporation détient les droits sur Oracle®, MySQL® et MyRocks® ; Percona® est une marque déposée de Percona LLC ; MariaDB® est une marque déposée de MariaDB Corporation Ab ; REDIS® est une marque déposée de Redis Labs Ltd. F5 Networks, Inc. détient les droits sur NGINX® et NGINX Plus® ; Varnish® est une marque déposée de Varnish Software AB. Adobe Inc. détient les droits sur Magento® ; PrestaShop® est une marque déposée de PrestaShop SA ; OpenCart® est une marque déposée d'OpenCart Limited. Automattic Inc. détient les droits sur WordPress®, WooCommerce® et JetPack® ; Open Source Matters, Inc. détient les droits sur Joomla® ; Dries Buytaert détient les droits sur Drupal®. Amazon Web Services, Inc. détient les droits sur AWS® ; Google LLC détient les droits sur Google Cloud™ et Chrome™ ; Microsoft Corporation détient les droits sur Microsoft®, Azure® et Internet Explorer® ; La Fondation Mozilla détient les droits sur Firefox®. Apache® est une marque déposée de The Apache Software Foundation ; PHP® est une marque déposée du groupe PHP. CloudFlare® est une marque déposée de Cloudflare, Inc. ; NETSCOUT® est une marque déposée de NETSCOUT Systems Inc. ; ElasticSearch®, LogStash® et Kibana® sont des marques déposées d'Elastic NV. Hetzner Online GmbH détient les droits sur Hetzner® ; OVHcloud est une marque déposée d'OVH Groupe SAS ; cPanel®, LLC détient les droits sur cPanel® ; Plesk® est une marque déposée de Plesk International GmbH ; Facebook, Inc. détient les droits sur Facebook®. Ce site n'est affilié, sponsorisé ou autrement associé à aucune des entités mentionnées ci-dessus et ne représente en aucune manière aucune de ces entités. Tous les droits sur les marques et noms de produits mentionnés sont la propriété de leurs titulaires respectifs des droits d'auteur. Toutes les autres marques mentionnées appartiennent à leurs titulaires. MANAGED SERVER® est une marque déposée au niveau européen par MANAGED SERVER SRL, Via Enzo Ferrari, 9, 62012 Civitanova Marche (MC), Italie.

JUSTE UN MOMENT !

Souhaitez-vous voir comment votre WooCommerce fonctionne sur nos systèmes sans avoir à migrer quoi que ce soit ? 

Entrez l'adresse de votre site WooCommerce et vous obtiendrez une démonstration navigable, sans avoir à faire absolument quoi que ce soit et entièrement gratuite.

Non merci, mes clients préfèrent le site lent.
Retour en haut de page