BLOG

12 Marzo 2023

Cos’è OCSP Stapling e quali vantaggi in termini di velocità per un sito web ?

Come eliminare i tempi di attesa per la verifica della revoca del certificato utilizzando il metodo dell’OCSP Stapling.

OCSP-certificate-stapling

La sicurezza delle comunicazioni è un tema di fondamentale importanza, soprattutto in un’epoca in cui le informazioni vengono scambiate su internet a ritmi sempre più elevati. La crittografia a chiave pubblica è una tecnologia che gioca un ruolo fondamentale nella protezione delle informazioni scambiate su internet.

La crittografia a chiave pubblica, nota anche come crittografia asimmetrica, utilizza due chiavi diverse per cifrare e decifrare le informazioni: una chiave pubblica e una chiave privata. La chiave pubblica è accessibile a chiunque, mentre la chiave privata è nota solo al proprietario della chiave. Ciò consente di proteggere le informazioni scambiate sulle reti pubbliche come internet, impedendo a chiunque di decifrare i messaggi senza la chiave privata.

Uno dei modi più comuni per utilizzare la crittografia a chiave pubblica è attraverso il protocollo HTTPS. HTTPS utilizza la crittografia SSL/TLS per proteggere la comunicazione tra un server web e un browser, rendendo difficile per gli hacker intercettare e decifrare le informazioni scambiate tra il sito web e il browser. HTTPS è essenziale per la protezione dei dati sensibili come le informazioni di pagamento e le credenziali degli utenti.

HTTPS (HyperText Transfer Protocol Secure) è una versione sicura del protocollo HTTP utilizzato per la comunicazione tra un server web e un browser. HTTPS utilizza crittografia SSL/TLS (Secure Sockets Layer/Transport Layer Security) per proteggere la privacy e la sicurezza delle informazioni scambiate tra il server web e il browser.

Un certificato SSL (Secure Sockets Layer) è un file di dati che viene utilizzato per autenticare l’identità del sito web e criptare le informazioni scambiate tra il server web e il browser. Il certificato SSL contiene informazioni come il nome del dominio del sito web, la data di scadenza e la chiave pubblica del sito web.

Il certificato SSL viene rilasciato da una Certificate Authority (CA), un’organizzazione che garantisce l’autenticità del sito web e la validità del certificato SSL. Quando un browser accede a un sito web protetto da HTTPS, verifica la validità del certificato SSL del sito web e se è valido, stabilisce una connessione sicura con il server web utilizzando la crittografia SSL/TLS.

In poche parole, HTTPS e un certificato SSL sono essenziali per garantire la sicurezza e la privacy delle informazioni scambiate tra un sito web e un browser. Proteggono contro il furto di informazioni sensibili, gli attacchi informatici e garantiscono l’autenticità del sito web.

Il protocollo Online Certificate Status Protocol (OCSP) è un meccanismo utilizzato per verificare se un certificato SSL/TLS è stato revocato o meno. In pratica, ogni volta che un browser si connette a un sito web protetto da SSL/TLS, il certificato viene verificato per garantire che non sia stato revocato. Questo processo può richiedere del tempo, in quanto il browser deve contattare il server OCSP per verificare lo stato del certificato.

Per ridurre il tempo di connessione e migliorare la velocità di caricamento del sito web, è stato sviluppato il meccanismo di OCSP stapling. In questo articolo esploreremo cos’è l’OCSP stapling e quali vantaggi può offrire in termini di velocità per un sito web.

Cos’è OCSP ed a cosa serve ?

Online Certificate Status Protocol (OCSP) è un protocollo di sicurezza utilizzato per verificare lo stato di validità di un certificato digitale SSL/TLS. Il protocollo permette di verificare la validità di un certificato digitale in tempo reale, senza dover fare affidamento su una lista di revoca dei certificati (CRL).

Tradizionalmente, per verificare la validità di un certificato digitale, veniva utilizzata una CRL che contiene l’elenco dei certificati revocati. Il problema con questa soluzione è che la CRL deve essere regolarmente aggiornata, il che può essere un problema quando si gestiscono grandi quantità di certificati. Inoltre, l’accesso alla CRL richiede una connessione di rete, il che può rallentare la verifica dei certificati.

OCSP risolve questi problemi consentendo ai client di richiedere lo stato di validità di un certificato digitale direttamente al server OCSP, che risponde con lo stato del certificato. Questo processo è noto come OCSP Stapling.

In pratica, quando un browser accede a un sito web protetto da SSL/TLS, il server invia anche una risposta OCSP insieme al certificato. In questo modo, il browser può verificare immediatamente lo stato di validità del certificato senza dover effettuare una connessione aggiuntiva al server OCSP.

Cos’è l’OCSP stapling?

L’OCSP stapling è un meccanismo che consente al server web di inviare la risposta di verifica dello stato del certificato SSL/TLS direttamente al browser, eliminando la necessità di contattare il server OCSP. In pratica, il server web “stapla” la risposta OCSP alla connessione SSL/TLS, eliminando il bisogno per il browser di effettuare una richiesta OCSP separata.

OCSP Stapling

In altre parole, il server web che ospita il sito web aggiorna regolarmente la risposta OCSP per il certificato SSL/TLS e “stapla” (ovvero pinza) questa risposta nella risposta HTTPS durante il processo di handshake SSL/TLS. In questo modo, il browser riceve la risposta OCSP insieme alla risposta HTTPS, eliminando la necessità di una richiesta OCSP separata.

Quali vantaggi offre l’OCSP stapling?

L’OCSP stapling offre numerosi vantaggi in termini di velocità e sicurezza per un sito web. Ecco alcune delle principali ragioni per cui l’OCSP stapling è diventato sempre più popolare tra i proprietari di siti web:

Migliora la velocità di caricamento del sito web

Come accennato in precedenza, l’utilizzo di OCSP stapling può ridurre significativamente il tempo di connessione e migliorare la velocità di caricamento del sito web. Poiché il browser non deve contattare il server OCSP separatamente per verificare lo stato del certificato, l’OCSP stapling riduce il numero di richieste di rete necessarie per stabilire una connessione SSL/TLS. Ciò significa che il sito web viene caricato più velocemente, migliorando l’esperienza dell’utente.

Sebbene il guadagno ottenuto possa sembrare davvero esiguo, dai nostri benchmark su connessioni 100 megabit abbiamo avuto un miglioramento indicativo di 10 – 15 ms, è anche vero che in casi di ottimizzazioni molto spinte e maniacali (come avviene ad esempio in tutti i nostri clienti con prodotti editoriali) risparmiare 10 – 15 ms, porta ad avere un tempo di risposta all’interno del Browser inferiore ai 40ms laddove ne servivano 60ms.

Sebbene possa essere una feature trascurata e trascurabile quando ci si trova con TTFB maggiori di 60ms, è vero che insieme al protocollo QUIC diventa la ciliegina sulla torta per abbassare ancora maggiormente la latenza delle risposte delle Certification Authority di cui possiamo vederne le principali nel grafico sopra.

Protegge contro gli attacchi OCSP

L’utilizzo di OCSP stapling protegge anche il sito web da attacchi OCSP. Poiché la risposta OCSP viene inviata direttamente dal server web al browser, non è possibile attaccare il server OCSP utilizzando attacchi di tipo man-in-the-middle o attacchi di tipo denial-of-service (DoS) per interrompere le risposte OCSP.

Riduce la latenza di connessione

Infine, l’utilizzo di OCSP stapling riduce anche la latenza di connessione. Poiché la risposta OCSP viene “stapled” (ovvero pinzata) alla connessione SSL/TLS, il browser riceve la risposta OCSP insieme alla risposta HTTPS durante il processo di handshake. Questo significa che la risposta OCSP è già pronta e disponibile quando il browser deve verificare lo stato del certificato, riducendo il tempo di latenza tra la richiesta del browser e la risposta del server.

Come implementare l’OCSP stapling sul sito web?

L’implementazione dell’OCSP stapling dipende dal server web utilizzato per ospitare il sito web. Tuttavia, la maggior parte dei server web supporta l’OCSP stapling, compresi Apache, Nginx, IIS e altri. In generale, l’implementazione dell’OCSP stapling comporta due passaggi principali:

  1. Abilitare l’OCSP stapling sul server web

Il primo passaggio consiste nell’abilitare l’OCSP stapling sul server web. In genere, ciò richiede l’aggiunta di una riga di configurazione al file di configurazione del server web. Ad esempio, se si utilizza Apache, è possibile abilitare l’OCSP stapling aggiungendo la seguente riga al file di configurazione:

SSLUseStapling on

  1. Verificare che l’OCSP stapling sia funzionante

Il secondo passaggio consiste nella verifica che l’OCSP stapling sia funzionante sul sito web. Ciò può essere fatto utilizzando strumenti online di verifica della connessione SSL/TLS, come SSL Labs. Questi strumenti forniscono informazioni dettagliate sulla configurazione della connessione SSL/TLS, compresa l’attivazione dell’OCSP stapling.

Qualys SSL Labs

Tutti i nostri webserver sono configurati per supportare OCSP Stapling e le migliori tecnologie di accelerazione web di fascia Enterprise.

Hai dei dubbi? Non sai da dove iniziare? Contattaci !

Abbiamo tutte le risposte alle tue domande per aiutarti nella giusta scelta.

Chatta con noi

Chatta direttamente con il nostro supporto prevendita.

0256569681

Contattaci telefonicamente negli orari d’ufficio 9:30 – 19:30

Contattaci online

Apri una richiesta direttamente nell’area dei contatti.

INFORMAZIONI

Managed Server S.r.l. è un player italiano di riferimento nel fornire soluzioni avanzate di sistemistica GNU/Linux orientate all’alta performance. Con un modello di sottoscrizione dai costi contenuti e prevedibili, ci assicuriamo che i nostri clienti abbiano accesso a tecnologie avanzate nel campo dell’hosting, server dedicati e servizi cloud. Oltre a questo, offriamo consulenza sistemistica su sistemi Linux e manutenzione specializzata in DBMS, IT Security, Cloud e molto altro. Ci distinguiamo per l’expertise in hosting di primari CMS Open Source come WordPress, WooCommerce, Drupal, Prestashop, Joomla, OpenCart e Magento, affiancato da un servizio di supporto e consulenza di alto livello adatto per la Pubblica Amministrazione, PMI, ed aziende di qualsiasi dimensione.

Red Hat, Inc. detiene i diritti su Red Hat®, RHEL®, RedHat Linux®, e CentOS®; AlmaLinux™ è un marchio di AlmaLinux OS Foundation; Rocky Linux® è un marchio registrato di Rocky Linux Foundation; SUSE® è un marchio registrato di SUSE LLC; Canonical Ltd. detiene i diritti su Ubuntu®; Software in the Public Interest, Inc. detiene i diritti su Debian®; Linus Torvalds detiene i diritti su Linux®; FreeBSD® è un marchio registrato di The FreeBSD Foundation; NetBSD® è un marchio registrato di The NetBSD Foundation; OpenBSD® è un marchio registrato di Theo de Raadt. Oracle Corporation detiene i diritti su Oracle®, MySQL®, e MyRocks®; Percona® è un marchio registrato di Percona LLC; MariaDB® è un marchio registrato di MariaDB Corporation Ab; REDIS® è un marchio registrato di Redis Labs Ltd. F5 Networks, Inc. detiene i diritti su NGINX® e NGINX Plus®; Varnish® è un marchio registrato di Varnish Software AB. Adobe Inc. detiene i diritti su Magento®; PrestaShop® è un marchio registrato di PrestaShop SA; OpenCart® è un marchio registrato di OpenCart Limited. Automattic Inc. detiene i diritti su WordPress®, WooCommerce®, e JetPack®; Open Source Matters, Inc. detiene i diritti su Joomla®; Dries Buytaert detiene i diritti su Drupal®. Amazon Web Services, Inc. detiene i diritti su AWS®; Google LLC detiene i diritti su Google Cloud™ e Chrome™; Facebook, Inc. detiene i diritti su Facebook®; Microsoft Corporation detiene i diritti su Microsoft®, Azure®, e Internet Explorer®; Mozilla Foundation detiene i diritti su Firefox®. Apache® è un marchio registrato di The Apache Software Foundation; PHP® è un marchio registrato del PHP Group. CloudFlare® è un marchio registrato di Cloudflare, Inc.; NETSCOUT® è un marchio registrato di NETSCOUT Systems Inc.; ElasticSearch®, LogStash®, e Kibana® sono marchi registrati di Elastic N.V. Questo sito non è affiliato, sponsorizzato, o altrimenti associato a nessuna delle entità sopra menzionate e non rappresenta nessuna di queste entità in alcun modo. Tutti i diritti sui marchi e sui nomi di prodotto menzionati sono di proprietà dei rispettivi detentori di copyright. Ogni altro marchio citato appartiene ai propri registranti. MANAGED SERVER® è un marchio registrato a livello Europeo da MANAGED SERVER SRL Via Enzo Ferrari, 9 62012 Civitanova Marche (MC) Italia.

SOLO UN ATTIMO !

Vorresti vedere come gira il tuo WooCommerce sui nostri sistemi senza dover migrare nulla ? 

Inserisci l'indirizzo del tuo sito WooCommerce e otterrai una dimostrazione navigabile, senza dover fare assolutamente nulla e completamente gratis.

No grazie, i miei clienti preferiscono il sito lento.
Torna in alto