OCSP (Online Certificate Status Protocol) Stapling activé : un chargement plus rapide de la 1ère pageLa fonctionnalité OCSP Stapling est activée sur lafibre.info depuis vendredi 17 avril 6h30
Cela sert à certifier que le certificat qui permet de chiffrer n'a pas été révoqué, sans faire de connexion vers un autre site.
Quels gains avec OCSP Stapling ?
- L'autorité de certification n'a pas accès à l'historique de navigation du client
- La vitesse de chargement de la première page est diminuée de plusieurs centaines de ms
- L'obtention du statut du certificat est plus efficace car elle n'est plus assujettie à une surcharge éventuelle des serveurs de l'autorité de certification (risque d'attaque par DDoS du serveur en question)
- Le client n'a donc pas besoin d'ouvrir une nouvelle connexion vers l'autorité de certification.
La charge du serveur de l'autorité de certification est moindre car la réponse qu'il a obtenu du répondeur OCSP peut être réutilisée par tous les clients qui utilisent le même certificat dans la limite du temps de validité de la réponse. Dans notre cas (StartSSL), c'était Akamai qui était utilisé pour vérifier la certification. chaque connexion à LaFibre.info entraînait une connexion chez Akamai.
Pour vous montrer en pratique le gain de temps pour charger la première page :
Voici les captures wirehsark corespondantes (réalisée le vendredi matin tôt) :
Capture Wireshark avec OSCP : Capture Wireshark sans OSCP :