Chiffrer les transactions tout en accélérant le trafic, tel est le rôle joué par les trois cartes de crypto-accélération SSL choisies pour notre test. Véritables standards de fait depuis l’avènement du commerce électronique, ces trois produits sont tous rapides, mais ils se différencient lors de la montée en charge.
Largement utilisé dans le cadre des transactions chiffrées réalisées entre le poste de l’internaute et le serveur du site marchand, le protocole SSL se montre malheureusement, très gourmand en bande passante. Problème, les études montrent qu’au bout de 8 secondes d’attente pour le téléchargement d’une page, l’internaute s’en va.Des temps de réponse qui s’allongent encore dans le cas de sessions SSL simultanées. Plusieurs constructeurs ont donc eu l’idée de décharger le travail de chiffrement SSL des CPU des serveurs, vers des serveurs dédiés sous forme d’appliance ou vers des cartes au format PCI. Certains, comme le groupe 3Suisses, préfèrent la première solution pour éviter des problèmes sur le serveur web lui-même.D’autres parient sur les cartes PCI insérées au c?”ur du serveur web voire sur un serveur de cache. Ces solutions que nous avons retenues pour les tests, se révèlent de performantes égales offrent l’avantage, selon leurs concepteurs de diminuer les prix par transaction SSL. Cette donnée pouvant d’ailleurs constituer l’un des premiers critères de choix. Ces cartes PCI sont désormais compatibles avec Windows 2000, ainsi que Linux selon la version du noyau.Les tests effectués par notre laboratoire concernent leurs performances dans un environnement Microsoft Windows 2000 avec un serveur IIS. Trois constructeurs ont accepté de participer à ce banc d’essai : AEP avec sa carte AEP 1000 SSL Accelerator, Ncipher avec nFast800 et Rainbow Technologies avec CryptoSwift PCI. Trois autres constructeurs étaient également sélectionnés, mais Sonicwall et Bull ne disposaient pas encore de produit disponible pour ce comparatif. Chrystalin ITS n’a pas souhaité être présent.Les résultats obtenus par notre laboratoire placent le produit de nCipher en première position. Malgré des performances de rapidité moins bonnes tant pour un faible volume de transactions SSL que lors de montées en charge plus importantes, cette carte dispose d’atouts non négligeables en termes de supervision, de gestion et de stockage de certificats et de clés.En matière de disponibilité, les tests de notre laboratoire mettent clairement en évidence l’importance du critère de tolérance aux pannes, fonction dont est dotée nFast800. Ce produit qui n’est pas forcément le plus évolutif du marché dispose par ailleurs d’un kit de développement baptisé Safebuilder, autre élément de poids dans le choix d’un tel produit.Quant aux autres critères, rapidité notamment, seule la carte CryptoSwift de Rainbow atteint le nombre de sessions SSL par seconde annoncé. Ses temps de réponse sont en moyenne les plus courts. Ses deux concurrents se sont révélés, lors des tests, très en deçà de leur capacité annoncée.
Ncipher plus adaptée à windows
La carte de Ncipher répond à une charge modérée, avec des temps les plus prédictibles des trois cartes. Elle laisse aux processeurs du serveur une bonne disponibilité. Enfin, la carte AEP 1000 ne s’est montrée intéressante que dans le cas de configurations très sollicitées, alors que celles de Ncipher et de Rainbow sont efficaces dès les faibles charges.Ces conclusions influent sur les performances du serveur web, la majeure partie des opérations de traitement des transactions étant calculée par les cartes. Elles améliorent donc les temps de réponse du serveur lorsqu’il subit une importante montée en charge. Pour les trois cartes, l’installation, aisée, n’a pas posé de problèmes particuliers. Cette procédure est à peu près équivalente à la mise en place de cartes PCI classiques et des pilotes associés.À noter, AEP est le seul constructeur à suggérer des paramètres d’optimisation dans les pilotes de la carte. D’après les ingénieurs de notre laboratoire, l’environnement Windows IIS assimile le plus facilement la nFast800. Elle propose des statistiques sur l’activité de la carte accélératrice en se fondant dans le moniteur de performances Windows. En cas de panne, elle détecte les dysfonctionnements de la carte accélératrice et, en cas de problèmes majeurs, bascule les opérations de chiffrement/déchiffrement SSL sur Windows sans discontinuité de services.Toutes ces cartes possèdent des options de supervision assez limitées (nFast800 et CryptoSwift PCI). Elles sont totalement absentes pour l’AEP1000 d’AEP. À noter la possibilité de mettre plusieurs cartes dans le même serveur, ce qui permet dans un premier temps de gérer une charge plus importante et, ensuite, de fournir aussi des fonctions de tolérance de panne plus avancées.