Onderzoekers van Google hebben de tijd die het kost om een beveiligde verbinding met een website op te zetten flink verminderd. Het is al geïntegreerd in Chrome.
Google-onderzoekers hebben een manier gevonden om de tijd die het kost om verbinding te maken met een website aanzienlijk te verminderen. Het zou een doorbraak zijn die er toe leidt dat het voor veel bedrijven minder problematisch wordt om een website te voorzien van https, zo schrijft het bedrijf op haar Chromium Weblog.
30% sneller zonder wijziging
Om de nieuwe techniek, die False Start gedoopt is, in te kunnen zetten hoeft er alleen iets simpels aan de browser veranderd te worden. Daarna zou volgens Google zo’n 99,5% van de websites die uitgerust is met SSL sneller werken. Beheerders van websites hoeven op deze manier niets aan hun kant te veranderen, in de browser moet wel iets veranderen. Google hoopt hiervoor op een specificatie zodat iedere browser het kan implementeren.
“We hebben SSL Falste Start in Chrome 9 geïmplementeerd en de resultaten zijn verbluffend. Het leidt tot een significate vermindering in de tijd dat het kost om verbinding te maken met een SSL-website”, aldus softwareontwikkelaar Mike Belshe op het weblog. “SSL Falste Start vermindert de latency van een SSL handshake met 30 procent. Dat is een groot getal”, vervolgt hij.
Minder gegevens uitwisselen
De oplossing van Google vermindert de hoeveelheid gegevens die uitgewisseld moet worden als een webbrowser en –server onderhandelen over een https-verbinding. Volgens de officiële specificaties van SSL moeten de gegevens twee keer heen-en-weer uitgewisseld worden voor een versleutelde verbinding opgezet kan worden.
Het aantal pakketten dat heen en weer gaat loopt daardoor op. Hierdoor kan de tijd die het kost om een website te laden ook oplopen. In een voorstel aan de Internet Engineering Task Force die medewerkers van Google vorig jaar opstelden, willen zij de latency van https-verbindingen verminderen door slechts één keer heen-en-weer te communiceren. Dat kan door een verkorte handshake te gebruiken bij het onderhandelen over bijvoorbeeld de encryptiesleutel.
Zwarte lijst
De Google-ontwikkelaars hebben False Start getest op een lijst van alle bekende websites die https-verbindingen accepteren. Van die site accepteerde 94,6% de verkorte SSL-handshake. Als van dat percentage de websites die volledig down waren worden gehaald, blijft 0,4 procent van de websites over waar het niet op werkt.
De nieuwe techniek is inmiddels al geïntegreerd in Googles browser Chrome en de open-source variant Chromium. Om te zorgen dat gebruikers van die browser wel alle websites kunnen bezoeken, heeft Google een zwarte lijst opgesteld van websites die SSL False Start niet accepteren.
Beter beveiligen
Als de techniek een specificatie wordt, zou dat het gebruik van https voor websites en diensten kunnen vermeerderen. Hoewel grote spelers als Google, Facebook en Twitter er door tools als Firesheep, die gegevens kunnen stelen, al over zijn, geldt dat zeker niet voor iedereen. Grote sites laten SSL vaak links liggen vanwege de vertragende factor. Ook een dienst als WhatsApp codeert de gegevens niet, waardoor gegevens in theorie op straat liggen.
Webwereld