Accélérer la vitesse de chargement des sites sécurisés

Performance SSL


Nous avons récemment annoncé notre collaboration avec CloudFlare en vue d'accélérer la performance SSL sur internet. Matthew Prince et Ryan Hurst, respectivement DG de CloudFlare et directeur de la technologie de GlobalSign, ont approfondi ensemble les aspects les plus techniques de leurs articles de blog respectifs, mais pour résumer... chaque fois qu'un navigateur se connecte à un site sécurisé, on peut dire qu'il se passe quelque chose comme ceci.

Navigateur : Bonjour, je voudrais me connecter à vous en toute sécurité via le protocole SSL, puis-je recevoir votre certificat SSL, s'il vous plaît ?
Serveur : Bien sûr, le voilà.
Navigateur : Merci, je vois que votre certificat a été émis par GlobalSign. Patientez un instant, je vérifie  la validité de ce certificat auprès de GlobalSign.
...
Navigateur : Bonjour GlobalSign. Pouvez-vous confirmer le statut de ce certificat ?
GlobalSign : Bien sûr, un instant. Oui, il est valide, il n’a pas été révoqué.
...
Navigateur : OK, confirmé par GlobalSign. Envoyez-moi le contenu de la page et je le téléchargerai maintenant.

En général, cette prise de contact (appelée réponse OCSP) prend environ 500 ms en fonction de l'efficacité de l'infrastructure de l'AC et de l'endroit où se trouve l'utilisateur en relation avec l'AC. Cela peut paraître rapide, mais si vous en parlez avec toute personne en charge du marketing en ligne et de l'optimisation des moteurs de recherche, elle vous dira que chaque milliseconde compte. Plus vous faites attendre quelqu'un, plus il est probable que son intérêt s’amenuise et qu'il quitte le site. La rapidité d'un site est d'une importance capitale et, dans le cas de l'utilisation de la technologie SSL, la page reste blanche et le contenu du site n'est pas rendu tant que la prise de contact n'est pas terminée.

Nous souhaitons que cette technologie soit utilisée davantage et pour des sites entiers. Mais 500 ms est un délai d'attente trop long. Comment espérer que les propriétaires de site pensent à se servir d'Always-On-SSL (toujours sur SSL) afin d'implémenter le SSL pour chaque page de leur site, si la dépendance à leur AC ralentit l'expérience utilisateur ? C'est là où intervient la collaboration avec CloudFlare qui possède de solides connaissances en matière de performance. Dans le cadre de sa mission pour #savetheweb (sauver Internet), il a réussi à accélérer considérablement la vitesse de cette réponse et donc l'expérience de navigation pour des centaines de millions de personnes chaque jour. La société est également un partenaire de longue date de GlobalSign et rien ne fait plus plaisir aux équipes de CloudFlare que d'utiliser leurs connaissances en matière de performance pour de nouvelles applications. Voilà exactement le problème que Ryan, Matthew et son équipe se sont appliqués à résoudre : les réponses OCSP prennent trop de temps à charger, accélérons-les et faisons des réponses de GlobalSign les plus rapides sur le Net.

Et c'est précisément ce que nous avons fait. En collaborant avec CloudFlare dans le but d'utiliser leur infrastructure mondiale pour répondre aux demandes sur l'état des certificats, nous avons accéléré les réponses OCSP de GlobalSign de 50 ms environ, soit 1/20e de seconde. Les délais dus à l'éloignement sont quasiment supprimés, ce qui est très important pour les clients d'une AC mondiale.

Un bref diagramme en cascade sur le site https://www.globalsign.com illustre exactement ce que nous avons réalisé.

globalsign-load-speed.png

Les barres violettes sont les prises de contact SSL. Vous remarquerez que les prises de contact les plus longues proviennent de la recherche de Google dans JSAPI  et d'un fichier Flash d'Amazon CloudFront, ce qui montre que même les réseaux les plus importants et les plus sophistiqués du web restent dépendants de la rapidité de l’OCSP de leur fournisseur SSL (mais ni Google, ni Amazon n'utilisent les certificats SSL de GlobalSign et peut-être le devraient-ils...). Par comparaison, la réponse OCSP de GlobalSign pour son propre site globalsign.com est aussi rapide que l'éclair.

Nous sommes fiers d'être la première AC à parvenir à ce résultat et nous pensons bien que nos homologues nous emboîterons le pas dans les mois à venir. Et même si nous bénéficions d'un avantage à court terme sur la concurrence, nous serons heureux de voir un SSL plus rapide pour tous, qui s'appuie sur la technologie pour offrir une expérience de navigation sécurisée et qui, souhaitons-le, sera plus largement utilisé sur des sites entiers.

Voir également :
Bref aperçu de la performance SSL :
quel est l'état de la vérification des révocations dans les navigateurs ?