12 mars 2023

Qu'est-ce que l'agrafage OCSP et quels sont les avantages en termes de vitesse pour un site Web ?

Comment éliminer les temps d'attente pour la vérification de la révocation des certificats à l'aide de la méthode d'agrafage OCSP.

OCSP-certificat-agrafage

La sĂ©curitĂ© des communications est un sujet d'une importance fondamentale, en particulier Ă  une Ă©poque oĂč les informations sont Ă©changĂ©es sur Internet Ă  un rythme sans cesse croissant. La cryptographie Ă  clĂ© publique est une technologie qui joue un rĂŽle essentiel dans la protection des informations Ă©changĂ©es sur Internet.

La cryptographie Ă  clĂ© publique, Ă©galement connue sous le nom de cryptographie asymĂ©trique, utilise deux clĂ©s diffĂ©rentes pour chiffrer et dĂ©chiffrer les informations : une clĂ© publique et une clĂ© privĂ©e. La clĂ© publique est accessible Ă  tous, tandis que la clĂ© privĂ©e n'est connue que du propriĂ©taire de la clĂ©. Cela permet de protĂ©ger les informations Ă©changĂ©es sur les rĂ©seaux publics tels qu'Internet, empĂȘchant quiconque de dĂ©chiffrer les messages sans la clĂ© privĂ©e.

L'un des moyens les plus courants d'utiliser la cryptographie à clé publique consiste à utiliser le protocole HTTPS. HTTPS utilise le cryptage SSL/TLS pour sécuriser la communication entre un serveur Web et un navigateur, ce qui rend difficile pour les pirates d'intercepter et de déchiffrer les informations échangées entre le site Web et le navigateur. HTTPS est essentiel pour protéger les données sensibles telles que les informations de paiement et les informations d'identification des utilisateurs.

HTTPS (HyperText Transfer Protocol Secure) est une version sécurisée du protocole HTTP utilisé pour la communication entre un serveur Web et un navigateur. HTTPS utilise le cryptage SSL/TLS (Secure Sockets Layer/Transport Layer Security) pour protéger la confidentialité et la sécurité des informations échangées entre le serveur Web et le navigateur.

Un certificat SSL (Secure Sockets Layer) est un fichier de données utilisé pour authentifier l'identité du site Web et crypter les informations échangées entre le serveur Web et le navigateur. Le certificat SSL contient des informations telles que le nom de domaine du site Web, la date d'expiration et la clé publique du site Web.

Le certificat SSL est émis par une autorité de certification (CA), un organisme qui garantit l'authenticité du site Web et la validité du certificat SSL. Lorsqu'un navigateur accÚde à un site Web sécurisé par HTTPS, il vérifie la validité du certificat SSL du site Web et, s'il est valide, établit une connexion sécurisée avec le serveur Web à l'aide du cryptage SSL/TLS.

En termes simples, HTTPS et un certificat SSL sont essentiels pour garantir la sécurité et la confidentialité des informations échangées entre un site Web et un navigateur. Ils protÚgent contre le vol d'informations sensibles, les cyberattaques et garantissent l'authenticité du site.

Le protocole Protocole de statut de certificat en ligne (OCSP) est un mécanisme utilisé pour vérifier si un certificat SSL/TLS a été révoqué ou non. Pratiquement, chaque fois qu'un navigateur se connecte à un site Web sécurisé par SSL/TLS, le certificat est vérifié pour s'assurer qu'il n'a pas été révoqué. Ce processus peut prendre un certain temps, car le navigateur doit contacter le serveur OCSP pour vérifier l'état du certificat.

Pour réduire le temps de connexion et améliorer la vitesse de chargement du site, le mécanisme d'agrafage OCSP a été développé. Dans cet article, nous allons explorer ce qu'est l'agrafage OCSP et quels avantages il peut offrir en termes de vitesse pour un site Web.

Qu'est-ce qu'OCSP et à quoi ça sert ?

Le protocole OCSP (Online Certificate Status Protocol) est un protocole de sécurité utilisé pour vérifier l'état de validité d'un certificat numérique SSL/TLS. Le protocole permet de vérifier la validité d'un certificat numérique en temps réel, sans avoir à s'appuyer sur une liste de révocation de certificats (CRL).

Traditionnellement, une CRL contenant la liste des certificats rĂ©voquĂ©s Ă©tait utilisĂ©e pour vĂ©rifier la validitĂ© d'un certificat numĂ©rique. Le problĂšme avec cette solution est que la CRL doit ĂȘtre mise Ă  jour rĂ©guliĂšrement, ce qui peut poser problĂšme lorsqu'il s'agit d'un grand nombre de certificats. De plus, l'accĂšs Ă  la CRL nĂ©cessite une connexion rĂ©seau, ce qui peut ralentir la vĂ©rification du certificat.

OCSP résout ces problÚmes en permettant aux clients de demander l'état de validité d'un certificat numérique directement auprÚs du serveur OCSP, qui répond avec l'état du certificat. Ce processus est connu sous le nom d'agrafage OCSP.

Fondamentalement, lorsqu'un navigateur accÚde à un site Web sécurisé par SSL/TLS, le serveur envoie également une réponse OCSP avec le certificat. De cette façon, le navigateur peut vérifier immédiatement l'état de validité du certificat sans avoir à établir une connexion supplémentaire avec le serveur OCSP.

Qu'est-ce que l'agrafage OCSP ?

L'agrafage OCSP est un mécanisme qui permet au serveur Web d'envoyer la réponse de vérification de l'état du certificat SSL/TLS directement au navigateur, éliminant ainsi le besoin de contacter le serveur OCSP. Essentiellement, le serveur Web "imprime" la réponse OCSP à la connexion SSL/TLS, éliminant ainsi la nécessité pour le navigateur de faire une demande OCSP distincte.

Agrafage OCSP

En d'autres termes, le serveur Web hĂ©bergeant le site Web met rĂ©guliĂšrement Ă  jour la rĂ©ponse OCSP pour le certificat SSL/TLS et "agrafe" (c'est-Ă -dire bloque) cette rĂ©ponse dans la rĂ©ponse HTTPS pendant le processus de prise de contact SSL/TLS. De cette façon, le navigateur reçoit la rĂ©ponse OCSP avec la rĂ©ponse HTTPS, Ă©liminant ainsi le besoin d'une requĂȘte OCSP distincte.

Quels sont les avantages de l'agrafage OCSP ?

L'agrafage OCSP offre plusieurs avantages en termes de vitesse et de sĂ©curitĂ© pour un site Web. Voici quelques-unes des principales raisons pour lesquelles l'agrafage OCSP est devenu de plus en plus populaire auprĂšs des propriĂ©taires de sites Web :

Améliorer la vitesse de chargement du site Web

Comme mentionnĂ© ci-dessus, l'utilisation de l'agrafage OCSP peut rĂ©duire considĂ©rablement votre temps de connexion et amĂ©liorer la vitesse de chargement du site Web. Étant donnĂ© que le navigateur n'a pas besoin de contacter le serveur OCSP sĂ©parĂ©ment pour vĂ©rifier l'Ă©tat du certificat, l'agrafage OCSP rĂ©duit le nombre de requĂȘtes rĂ©seau nĂ©cessaires pour Ă©tablir une connexion SSL/TLS. Cela signifie que le site Web se charge plus rapidement, ce qui amĂ©liore l'expĂ©rience utilisateur.

Bien que le gain obtenu puisse sembler trĂšs faible, d'aprĂšs nos benchmarks sur les connexions de 100 mĂ©gabits, nous avons eu une amĂ©lioration indicative de 10 Ă  15 ms, il est Ă©galement vrai que dans des cas d'optimisations trĂšs extrĂȘmes et maniaques (comme cela se produit, par exemple, dans tous nos clients avec des produits d'Ă©dition) Ă©conomisant 10 Ă  15 ms conduit Ă  un temps de rĂ©ponse dans le navigateur de moins de 40 ms lĂ  oĂč 60 ms Ă©taient nĂ©cessaires.

Bien qu'il puisse s'agir d'une caractéristique négligée et négligeable lorsqu'il s'agit d'un TTFB supérieur à 60 ms, il est vrai qu'avec le Protocole QUIC devient la cerise sur le gùteau pour baisser encore le temps de latence des réponses des Autorités de Certification dont on retrouve les principales dans le graphique ci-dessus.

ProtĂšge contre les attaques OCSP

L'utilisation de l'agrafage OCSP protĂšge Ă©galement le site Web des attaques OCSP. Étant donnĂ© que la rĂ©ponse OCSP est envoyĂ©e directement du serveur Web au navigateur, il n'est pas possible d'attaquer le serveur OCSP Ă  l'aide d'attaques de l'intercepteur ou d'attaques par dĂ©ni de service (DoS) pour perturber les rĂ©ponses OCSP.

RĂ©duit la latence de connexion

Enfin, l'utilisation de l'agrafage OCSP rĂ©duit Ă©galement la latence de connexion. Étant donnĂ© que la rĂ©ponse OCSP est agrafĂ©e Ă  la connexion SSL/TLS, le navigateur reçoit la rĂ©ponse OCSP avec la rĂ©ponse HTTPS pendant le processus de prise de contact. Cela signifie que la rĂ©ponse OCSP est prĂȘte et disponible lorsque le navigateur doit vĂ©rifier l'Ă©tat du certificat, ce qui rĂ©duit le temps de latence entre la demande du navigateur et la rĂ©ponse du serveur.

Comment implĂ©menter l'agrafage OCSP sur le site Web ?

La mise en Ɠuvre de l'agrafage OCSP dĂ©pend du serveur Web utilisĂ© pour hĂ©berger le site Web. Cependant, la plupart des serveurs Web prennent en charge l'agrafage OCSP, notamment Apache, Nginx, IIS et autres. En gĂ©nĂ©ral, la mise en Ɠuvre de l'agrafage OCSP implique deux Ă©tapes principales :

  1. Activer l'agrafage OCSP sur le serveur Web

La premiĂšre Ă©tape consiste Ă  activer l'agrafage OCSP sur le serveur Web. En rĂšgle gĂ©nĂ©rale, cela nĂ©cessite l'ajout d'une ligne de configuration au fichier de configuration du serveur Web. Par exemple, si vous utilisez Apache, vous pouvez activer l'agrafage OCSP en ajoutant la ligne suivante Ă  votre fichier de configuration :

SSLUtiliser l'agrafage sur

  1. VĂ©rifier que l'agrafage OCSP est fonctionnel

La deuxiĂšme Ă©tape consiste Ă  vĂ©rifier que l'agrafage OCSP fonctionne sur le site Web. Cela peut ĂȘtre fait Ă  l'aide d'outils de test de connexion SSL/TLS en ligne, tels que SSL Labs. Ces outils fournissent des informations dĂ©taillĂ©es sur la configuration de votre connexion SSL/TLS, y compris l'activation de l'agrafage OCSP.

Labs SSL Qualys

Tous nos serveurs Web sont configurés pour prendre en charge l'agrafage OCSP et les meilleures technologies d'accélération Web de classe entreprise.

Vous avez des doutes ? Vous ne savez pas par oĂč commencer ? Contactez-nous


Nous avons toutes les réponses à vos questions pour vous aider à faire le bon choix.

Discute avec nous

Discutez directement avec notre support avant-vente.

0256569681

Contactez-nous par téléphone pendant les heures de bureau 9h30 - 19h30

Contactez-nous en ligne

Ouvrez une demande directement dans l'espace contact.

INFORMATIONS

ManagedServer.it est le premier fournisseur italien de solutions d'hébergement hautes performances. Notre modÚle d'abonnement est abordable et prévisible, afin que les clients puissent accéder à nos technologies d'hébergement fiables, à nos serveurs dédiés et au cloud. ManagedServer.it offre également d'excellents services d'assistance et de conseil sur l'hébergement des principaux CMS Open Source tels que WordPress, WooCommerce, Drupal, Prestashop, Magento.

JUSTE UN MOMENT !

Souhaitez-vous voir comment votre WooCommerce fonctionne sur nos systĂšmes sans avoir Ă  migrer quoi que ce soit ? 

Entrez l'adresse de votre site WooCommerce et vous obtiendrez une démonstration navigable, sans avoir à faire absolument quoi que ce soit et entiÚrement gratuite.

Non merci, mes clients préfÚrent le site lent.
Retour en haut de page