BLOG

12 mars 2023

Qu'est-ce que l'agrafage OCSP et quels sont les avantages en termes de vitesse pour un site Web ?

Comment éliminer les temps d'attente pour la vérification de la révocation des certificats à l'aide de la méthode d'agrafage OCSP.

OCSP-certificat-agrafage

La sécurité des communications est un sujet d'une importance fondamentale, en particulier à une époque où les informations sont échangées sur Internet à un rythme sans cesse croissant. La cryptographie à clé publique est une technologie qui joue un rôle essentiel dans la protection des informations échangées sur Internet.

La cryptographie à clé publique, également connue sous le nom de cryptographie asymétrique, utilise deux clés différentes pour chiffrer et déchiffrer les informations : une clé publique et une clé privée. La clé publique est accessible à tous, tandis que la clé privée n'est connue que du propriétaire de la clé. Cela permet de protéger les informations échangées sur les réseaux publics tels qu'Internet, empêchant quiconque de déchiffrer les messages sans la clé privée.

L'un des moyens les plus courants d'utiliser la cryptographie à clé publique consiste à utiliser le protocole HTTPS. HTTPS utilise le cryptage SSL/TLS pour sécuriser la communication entre un serveur Web et un navigateur, ce qui rend difficile pour les pirates d'intercepter et de déchiffrer les informations échangées entre le site Web et le navigateur. HTTPS est essentiel pour protéger les données sensibles telles que les informations de paiement et les informations d'identification des utilisateurs.

HTTPS (HyperText Transfer Protocol Secure) est une version sécurisée du protocole HTTP utilisé pour la communication entre un serveur Web et un navigateur. HTTPS utilise le cryptage SSL/TLS (Secure Sockets Layer/Transport Layer Security) pour protéger la confidentialité et la sécurité des informations échangées entre le serveur Web et le navigateur.

Un certificat SSL (Secure Sockets Layer) est un fichier de données utilisé pour authentifier l'identité du site Web et crypter les informations échangées entre le serveur Web et le navigateur. Le certificat SSL contient des informations telles que le nom de domaine du site Web, la date d'expiration et la clé publique du site Web.

Le certificat SSL est émis par une autorité de certification (CA), un organisme qui garantit l'authenticité du site Web et la validité du certificat SSL. Lorsqu'un navigateur accède à un site Web sécurisé par HTTPS, il vérifie la validité du certificat SSL du site Web et, s'il est valide, établit une connexion sécurisée avec le serveur Web à l'aide du cryptage SSL/TLS.

En termes simples, HTTPS et un certificat SSL sont essentiels pour garantir la sécurité et la confidentialité des informations échangées entre un site Web et un navigateur. Ils protègent contre le vol d'informations sensibles, les cyberattaques et garantissent l'authenticité du site.

Le protocole Protocole de statut de certificat en ligne (OCSP) est un mécanisme utilisé pour vérifier si un certificat SSL/TLS a été révoqué ou non. Pratiquement, chaque fois qu'un navigateur se connecte à un site Web sécurisé par SSL/TLS, le certificat est vérifié pour s'assurer qu'il n'a pas été révoqué. Ce processus peut prendre un certain temps, car le navigateur doit contacter le serveur OCSP pour vérifier l'état du certificat.

Pour réduire le temps de connexion et améliorer la vitesse de chargement du site, le mécanisme d'agrafage OCSP a été développé. Dans cet article, nous allons explorer ce qu'est l'agrafage OCSP et quels avantages il peut offrir en termes de vitesse pour un site Web.

Qu'est-ce qu'OCSP et à quoi ça sert ?

Le protocole OCSP (Online Certificate Status Protocol) est un protocole de sécurité utilisé pour vérifier l'état de validité d'un certificat numérique SSL/TLS. Le protocole permet de vérifier la validité d'un certificat numérique en temps réel, sans avoir à s'appuyer sur une liste de révocation de certificats (CRL).

Traditionnellement, une CRL contenant la liste des certificats révoqués était utilisée pour vérifier la validité d'un certificat numérique. Le problème avec cette solution est que la CRL doit être mise à jour régulièrement, ce qui peut poser problème lorsqu'il s'agit d'un grand nombre de certificats. De plus, l'accès à la CRL nécessite une connexion réseau, ce qui peut ralentir la vérification du certificat.

OCSP résout ces problèmes en permettant aux clients de demander l'état de validité d'un certificat numérique directement auprès du serveur OCSP, qui répond avec l'état du certificat. Ce processus est connu sous le nom d'agrafage OCSP.

Fondamentalement, lorsqu'un navigateur accède à un site Web sécurisé par SSL/TLS, le serveur envoie également une réponse OCSP avec le certificat. De cette façon, le navigateur peut vérifier immédiatement l'état de validité du certificat sans avoir à établir une connexion supplémentaire avec le serveur OCSP.

Qu'est-ce que l'agrafage OCSP ?

L'agrafage OCSP est un mécanisme qui permet au serveur Web d'envoyer la réponse de vérification de l'état du certificat SSL/TLS directement au navigateur, éliminant ainsi le besoin de contacter le serveur OCSP. Essentiellement, le serveur Web "imprime" la réponse OCSP à la connexion SSL/TLS, éliminant ainsi la nécessité pour le navigateur de faire une demande OCSP distincte.

Agrafage OCSP

En d'autres termes, le serveur Web hébergeant le site Web met régulièrement à jour la réponse OCSP pour le certificat SSL/TLS et "agrafe" (c'est-à-dire bloque) cette réponse dans la réponse HTTPS pendant le processus de prise de contact SSL/TLS. De cette façon, le navigateur reçoit la réponse OCSP avec la réponse HTTPS, éliminant ainsi le besoin d'une requête OCSP distincte.

Quels sont les avantages de l'agrafage OCSP ?

L'agrafage OCSP offre plusieurs avantages en termes de vitesse et de sécurité pour un site Web. Voici quelques-unes des principales raisons pour lesquelles l'agrafage OCSP est devenu de plus en plus populaire auprès des propriétaires de sites Web :

Améliorer la vitesse de chargement du site Web

Comme mentionné ci-dessus, l'utilisation de l'agrafage OCSP peut réduire considérablement votre temps de connexion et améliorer la vitesse de chargement du site Web. Étant donné que le navigateur n'a pas besoin de contacter le serveur OCSP séparément pour vérifier l'état du certificat, l'agrafage OCSP réduit le nombre de requêtes réseau nécessaires pour établir une connexion SSL/TLS. Cela signifie que le site Web se charge plus rapidement, ce qui améliore l'expérience utilisateur.

Bien que le gain obtenu puisse sembler très faible, d'après nos benchmarks sur les connexions de 100 mégabits, nous avons eu une amélioration indicative de 10 à 15 ms, il est également vrai que dans des cas d'optimisations très extrêmes et maniaques (comme cela se produit, par exemple, dans tous nos clients avec des produits d'édition) économisant 10 à 15 ms conduit à un temps de réponse dans le navigateur de moins de 40 ms là où 60 ms étaient nécessaires.

Bien qu'il puisse s'agir d'une caractéristique négligée et négligeable lorsqu'il s'agit d'un TTFB supérieur à 60 ms, il est vrai qu'avec le Protocole QUIC devient la cerise sur le gâteau pour baisser encore le temps de latence des réponses des Autorités de Certification dont on retrouve les principales dans le graphique ci-dessus.

Protège contre les attaques OCSP

L'utilisation de l'agrafage OCSP protège également le site Web des attaques OCSP. Étant donné que la réponse OCSP est envoyée directement du serveur Web au navigateur, il n'est pas possible d'attaquer le serveur OCSP à l'aide d'attaques de l'intercepteur ou d'attaques par déni de service (DoS) pour perturber les réponses OCSP.

Réduit la latence de connexion

Enfin, l'utilisation de l'agrafage OCSP réduit également la latence de connexion. Étant donné que la réponse OCSP est agrafée à la connexion SSL/TLS, le navigateur reçoit la réponse OCSP avec la réponse HTTPS pendant le processus de prise de contact. Cela signifie que la réponse OCSP est prête et disponible lorsque le navigateur doit vérifier l'état du certificat, ce qui réduit le temps de latence entre la demande du navigateur et la réponse du serveur.

Comment implémenter l'agrafage OCSP sur le site Web ?

La mise en œuvre de l'agrafage OCSP dépend du serveur Web utilisé pour héberger le site Web. Cependant, la plupart des serveurs Web prennent en charge l'agrafage OCSP, notamment Apache, Nginx, IIS et autres. En général, la mise en œuvre de l'agrafage OCSP implique deux étapes principales :

  1. Activer l'agrafage OCSP sur le serveur Web

La première étape consiste à activer l'agrafage OCSP sur le serveur Web. En règle générale, cela nécessite l'ajout d'une ligne de configuration au fichier de configuration du serveur Web. Par exemple, si vous utilisez Apache, vous pouvez activer l'agrafage OCSP en ajoutant la ligne suivante à votre fichier de configuration :

SSLUtiliser l'agrafage sur

  1. Vérifier que l'agrafage OCSP est fonctionnel

La deuxième étape consiste à vérifier que l'agrafage OCSP fonctionne sur le site Web. Cela peut être fait à l'aide d'outils de test de connexion SSL/TLS en ligne, tels que SSL Labs. Ces outils fournissent des informations détaillées sur la configuration de votre connexion SSL/TLS, y compris l'activation de l'agrafage OCSP.

Labs SSL Qualys

Tous nos serveurs Web sont configurés pour prendre en charge l'agrafage OCSP et les meilleures technologies d'accélération Web de classe entreprise.

Vous avez des doutes ? Vous ne savez pas par où commencer ? Contactez-nous !

Nous avons toutes les réponses à vos questions pour vous aider à faire le bon choix.

Discute avec nous

Discutez directement avec notre support avant-vente.

0256569681

Contactez-nous par téléphone pendant les heures de bureau 9h30 - 19h30

Contactez-nous en ligne

Ouvrez une demande directement dans l'espace contact.

AVIS DE NON-RESPONSABILITÉ, Mentions légales et droits d'auteur. Red Hat, Inc. détient les droits sur Red Hat®, RHEL®, RedHat Linux® et CentOS® ; AlmaLinux™ est une marque commerciale de la AlmaLinux OS Foundation ; Rocky Linux® est une marque déposée de la Rocky Linux Foundation ; SUSE® est une marque déposée de SUSE LLC ; Canonical Ltd. détient les droits sur Ubuntu® ; Software in the Public Interest, Inc. détient les droits sur Debian® ; Linus Torvalds détient les droits sur Linux® ; FreeBSD® est une marque déposée de la Fondation FreeBSD ; NetBSD® est une marque déposée de la Fondation NetBSD ; OpenBSD® est une marque déposée de Theo de Raadt ; Oracle Corporation détient les droits sur Oracle®, MySQL®, MyRocks®, VirtualBox® et ZFS® ; Percona® est une marque déposée de Percona LLC ; MariaDB® est une marque déposée de MariaDB Corporation Ab ; PostgreSQL® est une marque déposée de PostgreSQL Global Development Group ; SQLite® est une marque déposée de Hipp, Wyrick & Company, Inc. ; KeyDB® est une marque déposée d'EQ Alpha Technology Ltd. ; Typesense® est une marque déposée de Typesense Inc. ; REDIS® est une marque déposée de Redis Labs Ltd ; F5 Networks, Inc. détient les droits sur NGINX® et NGINX Plus® ; Varnish® est une marque déposée de Varnish Software AB ; HAProxy® est une marque déposée de HAProxy Technologies LLC ; Traefik® est une marque déposée de Traefik Labs ; Envoy® est une marque déposée de CNCF ; Adobe Inc. détient les droits sur Magento® ; PrestaShop® est une marque déposée de PrestaShop SA ; OpenCart® est une marque déposée d'OpenCart Limited ; Automattic Inc. détient les droits sur WordPress®, WooCommerce® et JetPack® ; Open Source Matters, Inc. détient les droits sur Joomla® ; Dries Buytaert détient les droits sur Drupal® ; Shopify® est une marque déposée de Shopify Inc. ; BigCommerce® est une marque déposée de BigCommerce Pty. Ltd.; TYPO3® est une marque déposée de la TYPO3 Association; Ghost® est une marque déposée de la Ghost Foundation; Amazon Web Services, Inc. détient les droits sur AWS® et Amazon SES® ; Google LLC détient les droits sur Google Cloud™, Chrome™ et Google Kubernetes Engine™ ; Alibaba Cloud® est une marque déposée d'Alibaba Group Holding Limited ; DigitalOcean® est une marque déposée de DigitalOcean, LLC ; Linode® est une marque déposée de Linode, LLC ; Vultr® est une marque déposée de The Constant Company, LLC ; Akamai® est une marque déposée d'Akamai Technologies, Inc. ; Fastly® est une marque déposée de Fastly, Inc. ; Let's Encrypt® est une marque déposée d'Internet Security Research Group ; Microsoft Corporation détient les droits sur Microsoft®, Azure®, Windows®, Office® et Internet Explorer® ; Mozilla Foundation détient les droits sur Firefox® ; Apache® est une marque déposée de The Apache Software Foundation ; Apache Tomcat® est une marque déposée de The Apache Software Foundation ; PHP® est une marque déposée de PHP Group ; Docker® est une marque déposée de Docker, Inc. Kubernetes® est une marque déposée de The Linux Foundation ; OpenShift® est une marque déposée de Red Hat, Inc. ; Podman® est une marque déposée de Red Hat, Inc. ; Proxmox® est une marque déposée de Proxmox Server Solutions GmbH ; VMware® est une marque déposée de Broadcom Inc. ; CloudFlare® est une marque déposée de Cloudflare, Inc. ; NETSCOUT® est une marque déposée de NETSCOUT Systems Inc. ; ElasticSearch®, LogStash® et Kibana® sont des marques déposées d'Elastic NV ; Grafana® est une marque déposée de Grafana Labs ; Prometheus® est une marque déposée de The Linux Foundation ; Zabbix® est une marque déposée de Zabbix LLC ; Datadog® est une marque déposée de Datadog, Inc. ; Ceph® est une marque déposée de Red Hat, Inc. ; MinIO® est une marque déposée de MinIO, Inc. ; Mailgun® est une marque déposée de Mailgun Technologies, Inc. ; SendGrid® est une marque déposée de Twilio Inc. Postmark® est une marque déposée d'ActiveCampaign, LLC ; cPanel®, LLC détient les droits sur cPanel® ; Plesk® est une marque déposée de Plesk International GmbH ; Hetzner® est une marque déposée de Hetzner Online GmbH ; OVHcloud® est une marque déposée d'OVH Groupe SAS ; Terraform® est une marque déposée de HashiCorp, Inc. ; Ansible® est une marque déposée de Red Hat, Inc. ; cURL® est une marque déposée de Daniel Stenberg ; Facebook®, Inc. détient les droits sur Facebook®, Messenger® et Instagram®. Ce site n'est pas affilié, sponsorisé ou autrement associé à l'une des entités mentionnées ci-dessus et ne représente aucune de ces entités de quelque manière que ce soit. Tous les droits sur les marques et noms de produits mentionnés sont la propriété de leurs titulaires respectifs des droits d'auteur. Toutes les autres marques mentionnées sont la propriété de leurs titulaires respectifs. MANAGED SERVER® est une marque déposée européenne de MANAGED SERVER SRL, dont le siège social est situé Via Flavio Gioia, 6, 62012 Civitanova Marche (MC), Italie et le siège opérationnel Via Enzo Ferrari, 9, 62012 Civitanova Marche (MC), Italie.

JUSTE UN MOMENT !

Vous êtes-vous déjà demandé si votre hébergement était nul ?

Découvrez dès maintenant si votre hébergeur vous pénalise avec un site web lent digne des années 1990 ! Résultats immédiats.

Fermer le CTA
Retour en haut de page