Activer la mise en cache du navigateur avec HTTPS
Je comprends que les données sensibles ne doivent pas être mises en cache (c'est-à-dire que vous ne voulez pas mettre en cache un fichier HTML avec tous vos détails de votre compte bancaire), mais il y a des choses que les sites protégés HTTTPS devraient pouvoir cacher (JavaScript, CSS, images, etc.). tomcat ne semble pas permettre aux développeurs de définir explicitement un fichier à être cachéable une fois que SSL/TLS a été activé, et je comprends que même s'ils l'ont fait le navigateur de l'utilisateur utilise uniquement un cache de mémoire pour HTTPS sessions et se défaille tout une fois la session terminée. Avec toute la bande Web 2.0, cela se passe, il me semble que les opérateurs de sites seraient intéressés par cette capacité à réduire les charges sur leurs sites (ainsi que de temps de chargement de la page) tout en maintenant la "barre verte" dans le navigateur de l'utilisateur qui donne Nous tous un sentiment chaleureux et floue à l'intérieur.
Mise à jour: retiré des bits sur la validation des fichiers mis en cache avec un HMAC puisqu'il serait inutile. Si l'attaquant exploite une forme de collision de hachage, cela ne comporte pas si le hachage est calculé avec une clé secrète ou non.
Utilisez cet en-tête dans votre réponse HTTPS:
Cache-control: public
Ou ajouter ", public" à votre en-tête de contrôle de cache existant.
Utilisez le contrôle du cache: Directive publique pour activer la mise en cache HTTPS pour Firefox.
Certaines versions de Firefox exigent que la commande de cache: l'en-tête public à définir pour que les ressources soient envoyées sur SSL soit mise en cache sur disque, même si les autres en-têtes de mise en cache sont explicitement définis. Bien que cet en-tête soit normalement utilisé pour activer la mise en cache par des serveurs proxy (comme décrit ci-dessous), les proxy ne peuvent pas mettre en cache aucun contenu envoyé via HTTPS, il est donc toujours sûr de définir cet en-tête pour les ressources HTTPS.
Source: vitesse de la page Google
La publication Tuning de performance HTTPS dit dans la section "Conseil n ° 3: Utilisez la mise en cache persistante pour le contenu statique" que Internet Explorer peut également cacher des ressources statiques sur les connexions HTTPS.