Apache Seiten mit TLS durch OCSP Stapling beschleunigen

Verwendet man auf seiner Webseite TLS (SSL) dann bekommt man zusätzlich Geschwindigkeitseinbußen die sich aus der Prüfung der Zertifikate ergeben. Der technische Begriff heißt dabei Online Cetification Status Protokoll

Das Online Certificate Status Protocol (OCSP) ist ein Netzwerkprotokoll, das es Clients ermöglicht, den Status von X.509-Zertifikaten bei einem Validierungsdienst abzufragen. …. Benötigt wird dies bei der Prüfung digitaler Signaturen, bei der Authentisierung in Kommunikationsprotokollen (z. B. bei SSL) oder für die Versendung verschlüsselter E-Mails, um zu überprüfen, ob die Zertifikate, die zur Prüfung der Signatur, zur Identifizierung der Kommunikationspartner oder zur Verschlüsselung verwendet werden, gesperrt und damit bereits vor Ende ihres regulären Gültigkeitszeitraums ungültig wurden.

Also, der Browser prüft ob die Zertifikate noch gut sind. Das Problem ist, dass diese Prüfung eine weitere Abfrage bei einem Server ist die natürlich Zeit braucht. Und der Firefox hat die Angewohnheit auf das Ergebnis der Prüfung zu warten bevor die Seite weiter dargestellt wird.

So sieht das in Chrome

und so sieht das in Firefox aus.

Mehr als eine halbe Sekunde geht für diese Abfrage der Zertifikate drauf.

Um das Problem zu umgehen gibt es “OCSP stapling”. Hierbei fragt der Server in regelmäßigen Abständen bei der Prüfstelle nach und übergibt einen signierten Status des Zertifikates an den Browser. Dabei ist natürlich sichergestellt das der Server dem Client nichts gefälschtes unter jubeln kann.

Im Apache ist das seit Version 2.3.3 enthalten und lässt sich einfach für einen installierten TLS Host installieren

 vi /etc/apache2/mods-enabled/ssl.conf
    SSLStaplingCache shmcb:/tmp/stapling_cache(128000)

vi /etc/apache2/sites-enabled/www.hagen-bauer.de.conf
    SSLUseStapling on
apache2 reload

Auf SSLLabs sieht man dann auch ein schönes

OCSP stapling   Yes

Und so sind die Resultate im Firefox (externes Video). Die zwei Zeilen haben sich doch gelohnt.