La Fibre

Fonctionnement du forum => A lire avant de commencer... => profile Évolution de LaFibre.info, bugs et critiques => Discussion démarrée par: vivien le 22 avril 2015 à 08:33:36

Titre: Activation OCSP Stapling: gain de 400ms pour charger la 1ère page
Posté par: vivien le 22 avril 2015 à 08:33:36
OCSP (Online Certificate Status Protocol) Stapling activé : un chargement plus rapide de la 1ère page

La fonctionnalité OCSP Stapling est activée sur lafibre.info depuis vendredi 17 avril 6h30

Cela sert à certifier que le certificat qui permet de chiffrer n'a pas été révoqué, sans faire de connexion vers un autre site.

Quels gains avec OCSP Stapling ?
- L'autorité de certification n'a pas accès à l'historique de navigation du client
- La vitesse de chargement de la première page est diminuée de plusieurs centaines de ms
- L'obtention du statut du certificat est plus efficace car elle n'est plus assujettie à une surcharge éventuelle des serveurs de l'autorité de certification (risque d'attaque par DDoS du serveur en question)
- Le client n'a donc pas besoin d'ouvrir une nouvelle connexion vers l'autorité de certification.

La charge du serveur de l'autorité de certification est moindre car la réponse qu'il a obtenu du répondeur OCSP peut être réutilisée par tous les clients qui utilisent le même certificat dans la limite du temps de validité de la réponse. Dans notre cas (StartSSL), c'était Akamai qui était utilisé pour vérifier la certification. chaque connexion à LaFibre.info entraînait une connexion chez Akamai.

Pour vous montrer en pratique le gain de temps pour charger la première page :
(https://lafibre.info/images/ssl/201504_lafibre_avec_ocsp_stapling.png)

Voici les captures wirehsark corespondantes (réalisée le vendredi matin tôt) :

Capture Wireshark avec OSCP :                          Capture Wireshark sans OSCP :
(https://lafibre.info/images/wireshark/logo_wireshark.png) (https://lafibre.info/images/ssl/201504_lafibre_avec_ocsp_stapling.pcapng.gz)                             (https://lafibre.info/images/wireshark/logo_wireshark.png) (https://lafibre.info/images/ssl/201504_lafibre_sans_ocsp_stapling.pcapng.gz)
Titre: Activation OCSP Stapling: gain de 400ms pour charger la 1ère page
Posté par: vivien le 22 avril 2015 à 08:40:36
SSL Decoder (https://tls.so/?host=lafibre.info) donne les informations OCSP Stapling :

(https://lafibre.info/images/ssl/201504_lafibre_ssl_decoder.png)
Titre: Activation OCSP Stapling: gain de 400ms pour charger la 1ère page
Posté par: vivien le 22 avril 2015 à 08:41:20
SSL Labs :

(https://lafibre.info/images/ssl/201504_lafibre_ssl_labs.png)