Qu'est-ce qu'est OCSP?

OCSP est Online Certificate Status Protocol. C'est un protocole de navigateur que vérifie la validité d'un certificat SSL à l'aide d'une liste blanche.

CRL
La validité est vérifiée normale à l'aide de liste de révocations de certificats (CRL): une liste noire d'autorité de certification sur laquelle le CA certificats placent qui sont révoqués. Chaque visite d'un site web avec un certificat, le navigateur fait une demande au CA, sur laquelle le CA renvoie le CRL. Ensuite le navigateur peut vérifier si le certificat en question est sur une liste noire. En ce cas, le navigateur peut donner un message d'erreur à l'utilisateur.

L'utilisation d'un CRL a des désavantages: le navigateur doivent demander le CRL à nouveau ce que produit beaucoup de trafic au CA, particulièrement lorsqu'il s'agit un site web populaire avec beaucoup de trafic. Ce peut générer autant trafic que peut être abusé pour une attaque de DDoS. Si le CA n'est pas disponible, le CRL ne peut pas vérifier et le navigateur peut juger de confiance le certificat. En plus il est important de CA le CRL mises à jour.

OCSP
OCSP est créé pour offrir une alternative, et il travail avec une liste blanche au lieu d'une liste noire. Au lieu de demander une liste noire complète, le navigateur envoie le certificat qui doit être vérifié. Le CA envoie le statut du certificat au navigateur qui peut s'agir en conséquence. Cette méthode demande au moins de trafic au CA, et un règlement plus compact dans le navigateur, parce que seulement une petite réponse statut est traité. De plus le navigateur n'envoie pas l'utilisateur au site web quand il n'a pas de communication avec le CA: l'utilisateur recevrez un message d'erreur.

Mais le OCSP a des désavantages: la chance d'une surcharge du système de CA est encore présent, mais plus moindre. La demande au CA est toujours sur HTTP, afin qu'il permet d'écouter pour hackers. Enfin il est discutable d'inclure un tiers pour la vérification d'un certificat, même si le tiers est le CA qui a émis le certificat.

OCSP Stapling
OCSP Stapling n'est pas le navigateur, mais le serveur qui contient le certificat qu'envoie une demande OCSP au CA. Ce processus est répété régulièrement: afin que le résultat reste mise à jour. Ensuite le serveur lie le résultat à la poignée de main SSL qui est appelée si un navigateur fait une connexion avec le serveur. Celui offre plusieurs avantages: il y a besoin plus de trafic entre le serveur et le navigateur, parce que la demande de navigateur est répondu directement avec la réponse de poignée de main SSL. La demande OCSP au CA à partir de serveur est un circuit fermé, et le résultat que le serveur reçoit doit être toujours signé par le CA pour être validé. Ce processus assure que le système ne peut pas exploiter. Le résultat est maintenu pendant longtemps, ce que fait plus stable que CRL ou OCSP. Si le CA n'est pas disponible, le serveur a un résultat que peut être utilisé pour vérification du certificat. Et quand le serveur ce résultat ne peut pas vérifier au navigateur, une demande OCSP peut être exécuté.

OCSP Stapling est un paramètre sur votre installation serveur web. La configuration de cette option dépend du logiciel de votre serveur. Consulter le manuel d'utilisateur de votre logiciel pour configurer l'OCSP Stapling.