CloudFlare belooft snellere controle van ssl-certificaten binnen de browser

De 'burst-dienst' CloudFlare heeft een samenwerking aangekondigd met certificaatverstrekker GlobalSign. Websitebeheerders met een door GlobalSign uitgegeven certificaat zouden volgens CloudFlare https-pagina's tot vijf maal sneller kunnen serveren.

CloudFlare heeft naar eigen zeggen het controleproces dat browsers uitvoeren bij het controleren van de geldigheid van een ssl-certificaat, flink versneld door de controle via het benodigde ocsp-protocol te versnellen. Daarvoor gebruikt de start-up een techniek die ocsp stapling wordt genoemd. Via dit mechanisme zou het controleproces 30 procent sneller kunnen verlopen. Hierdoor zou een ocsp-controle gemiddeld 100ms duren in plaats van een halve seconde.

Hoewel iedere website oscp stapling kan gebruiken, hebben veel sites die gebruik maken van Nginx, een webserver en een reverse proxy-server, deze optie niet omdat deze software oscp stapling niet ondersteunde. CloudFlare heeft samen met enkele certificaatverstrekkers deze optie alsnog binnen Nginx mogelijk gemaakt.

Volgens CloudFlare kunnen websitebeheerders die ssl op hun website hebben geïmplementeerd en via https beveiligde pagina's leveren, ook een flinke snelheidswinst boeken door gebruik te maken van zijn 'burst-dienst' en de aanvullende ssl-dienstverlening. Daarnaast zouden ook websites die gebruik maken van cerificaten van GlobalSign kunnen profiteren van de ocsp stapling-implementatie bij CloudFlare. Volgens CloudFlare en GlobalSign kan een browser tot drie maal sneller een certificaat controleren met een flinke snelheidswinst tot gevolg.

Update 2/11: Nieuwe informatie van GlobalSign toegevoegd.

Door Dimitri Reijerman

Redacteur

Feedback • 01-11-2012 19:06
18 • submitter: vanbroup

01-11-2012 • 19:06

18

Submitter: vanbroup

Lees meer

Amsterdamse Cloudflare-servers kampen met grootschalige ddos-aanvallen
Amsterdamse Cloudflare-servers kampen met grootschalige ddos-aanvallen Nieuws van 1 juli 2014
GlobalSign gaat ipv6 ondersteunen
GlobalSign gaat ipv6 ondersteunen Nieuws van 13 maart 2013
CloudFlare raakt offline door storing op edge-servers
CloudFlare raakt offline door storing op edge-servers Nieuws van 3 maart 2013
Onderzoeker zet vraagtekens bij Europese https-regels
Onderzoeker zet vraagtekens bij Europese https-regels Nieuws van 29 december 2012
LulzSec gooit na laatste dump de handdoek in de ring - update
LulzSec gooit na laatste dump de handdoek in de ring - update Nieuws van 26 juni 2011
Meer producten en artikelen
Websites en community's

Reacties (18)

-Moderatie-faq
18
17
10
5
0
5
Wijzig sortering

Sorteer op:

Weergave:
FireDrunk 1 november 2012 19:16
Allemaal leuk, maar hoeveel browsers doen een synchrone check op Certificate Revocations? Want dat is het geen waar dit om gaat?
Boss @FireDrunk1 november 2012 20:04
Onder Windows gebruiken de meeste browsers de Windows Certificate store. Volgens mij zorgt Window voor regelmatige controle en bijwerking van de CRL van de certificaten die daarin staan. Het is daarom niet nodig om voor iedere sessie opnieuw de CRL server te benaderen.
mkools24 @FireDrunk1 november 2012 21:09
IE9 doet dat o.a. en daardoor is die browser soms ultra-traag bij het laden van https-pagina's, daarom zet ik in bedrijfsomgevingen die check altijd uit met een policy.

Ik gebruik zelf nu ook Cloudflare voor mijn website, voorheen ging die altijd plat vanwege ddos aanvallen maar sinds ik Cloudflare gebruik ben ik al maanden niet meer down gegaan. Het is dus mooi om te zien dat ze blijven verbeteren ook al is het nu een verbetering die de meesten niet zo boeit waarschijnlijk.

Het enige nadeel van Cloudflare is dat je site soms wel traag is, ze zeggen dat ze hem turbo boosten maar je dedicated direct aan het net hangen is toch altijd nog stukken sneller, ik zou liever daar dus wat verbetering zien. Maargoed beter wat trager dan down en voor die paar tientjes per maand heb ik geen recht om te klagen ;)
CyBeR @mkools241 november 2012 23:00
IE9 doet dat o.a. en daardoor is die browser soms ultra-traag bij het laden van https-pagina's, daarom zet ik in bedrijfsomgevingen die check altijd uit met een policy.
Precies, want daar boeit 't niet of bedrijfsdata naar een man-in-the-middle gestuurd wordt.
mkools24 @CyBeR2 november 2012 10:46
Ehmm nee IE9 checkt puur of het certificaat revoked is. Firefox en Chrome zijn wel snel (doen dat niet) dus de vraag is hoe onveilig het is.
i-chat @mkools242 november 2012 15:11
wat betekend dat als een cert revoked is na bijv een diginotar verhaal, er niet meer gechecktwoord - of ten minste niet tot de volgende update... uren zo niet weken kunnen verstrijken eer zoiets gefixt is... ook al volgt een revoke snel genoeg...

zeker bij ms zal dit niet gefixt worden met een tussentijdse patch... de brouwser kijkt immers al .... (owh nee wacht dat heb je uitgezet.... DOHHHH 8)7 )
TvdW 1 november 2012 19:48
Dit loopt toevallig erg goed samen met de nieuwe OSCP stapling support in nginx 1.3.7. Toeval? Cloudflare gebruikt nginx intern...
justincase @TvdW1 november 2012 20:03
Toeval lijkt me zeer sterk. Ook in hun vorige post m.b.t. OSCP stapling doen ze nergens nginx noemen. De nginx patch is gesponsord door Comodo, DigiCert én GlobalSign met input van het CAB forum. Beetje jammer dat ze dit niet erkennen.
Eris 1 november 2012 21:42
Gebruik zelf voor een website ook cloudflare. Ben er zelf erg tevreden over het is inderdaad niet echt exteem veel sneller misschien wat langzamer. Maar ja dit is het resultaat van 1 maand tijd voor 1 website:


35,236,605 requests saved by CloudFlare
38,330,698 total requests

BANDWIDTH SAVED
112.1 GB bandwidth saved by CloudFlare
175.0 GB total bandwidth
Snikker 1 november 2012 20:58
Ik ben zeer benieuwd naar CloudFlare, heb een site met maandelijks 1M bezoekers per maand en vraag me af of ik het moet doen. Zou je meer kunnen vertellen over je ervaringen? Heeft het je site versneld? Minder traffic te betalen etc?
mkools24 @Snikker1 november 2012 21:17
Zie mijn reactie boven, je site wordt absoluut niet sneller. In veel gevallen trager maar het is wel perfect om je site te beschermen wanneer je veel last hebt van kiddies die alles doen om je site plat te krijgen. Ik host zelf een gaming community en dan heb je altijd wel wat mensen die pissig zijn wanneer ze bijv. gebanned worden o.i.d.

Het is ook niet vervelend traag ofzo en ik gebruik het eigenlijk alleen om het echte IP van m'n web server te verbergen van het internet. Ik heb dus veel optimalisatie opties uitstaan om zo compatible mogelijk te zijn want soms als je teveel aanzet, vooral de beta apps van cloudflare kan je site weleens raar gaan doen, bijv. wat ik had in een reload loop raken waarbij de site zichzelf constant gaat verversen.

Je spaart wel veel traffic uit, maar dat is dan volgens de site van Cloudflare dus dat moet je maar voor waar aannemen. Bijv. bij mij zie je staan:

12.6 GB bandwidth saved by CloudFlare
34.0 GB total bandwidth.

Dus volgens hen zou het dan 1/3e besparen. Ik zit zelf ong. aan de 1M pageviews per maand.

Ik gebruik zelf overgens de pro versie voor (uit mijn hoofd) $30 per maand.

[Reactie gewijzigd door mkools24 op 22 juli 2024 23:55]

Kanarie @Snikker1 november 2012 21:38
Cloudflare, zelfs de gratis versie die ik gebruik, vind ik briljant. De site die ik host krijgt 400k pageviews per maand, en dat levert de volgende Cloudflare stats op:

5,387,834 requests saved by CloudFlare
6,468,322 total requests

88.9 GB bandwidth saved by CloudFlare
158.5 GB total bandwidth

Het fijnste is dat je statische assets automatisch gecacht zijn door Cloudflare en wereldwijd lokaal beschikbaar zijn. Dat scheelt voor bezoekers ver van je server gewoon behoorlijk wat laadtijd.
AndriesLouw @Snikker2 november 2012 01:14
Hier een Pro-user, i.v.m. SSL en extra opties, (stats over oktober; Bandwidth: 538.9 GB saved/565.9 GB total, Requests: 93,538,279 saved/97,116,704 total en 567,183 unique visitors).

Vooral het verhaal over statische bestanden kan ik onderschrijven, mits je webserver reeds netjes headers verstuurd met daarin informatie over hoelang bestanden te houden. Je kunt niet op tegen een CDN met 23 locaties, helemaal met internationale bezoekers erg handig.

Voor mijn (hobby)project heeft het de request-times wereldwijd gemiddeld meer dan gehalveerd (250ms ->95ms voor een volledige HTTP-response). Ter verduidelijking: Mijn backend (en voormalige frontend) is reeds een zwaar getweaked nginx-cluster. Wanneer je vanaf Apache komt zullen de resultaten waarschijnlijk nog veel beter zijn.

Daarnaast een mooi vangnet voor een hoop bandwidth, hou dus van de 565GB amper 30GB over om zelf af te handelen. Deed voorheen wel alles, met de daarbij behorende rekening.
biglia 1 november 2012 20:52
Cloudflare is gratis...behalve bij websites met SSL. Ik gebruik het ook, en ik ben best tevreden met de gratis versie.
c-nan 2 november 2012 13:22
Voor de gebruikers hierboven: ik heb geen ervaring met cloudfare, wat ik mij afvraag, wat gebeurd er op het moment dat het netwerk van cloudfare down is? Is je website dan automatisch ook down?

Is het niet slimmer / logischer om met zo een hoog aantal visitors een eigen cluster op te zetten?
mkools24 @c-nan2 november 2012 14:23
Yep dan is je site ook down, maar cloudflare heeft zoveel proxies, die zullen nooit allemaal tegelijk down gaan.

Je kan idd ook een eigen cdn opzetten met VPS-jes over heel de wereld maar dan gaat het heel snel heel duur worden.
kwaazaar 3 november 2012 13:40
CDN kun je ook zelf inrichten mbv Windows Azure. Dan heb je, naast de reguliere data centers van Azure nog een boel extra datacenters speciaal voor het CDN. Goedkoper dat Cloudflare verwacht ik niet! (heb me ook zonet aangemeld :) )

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq