qu´est-ce que l´OCSP ?

OCSP signifie Online Certificate Status Protocol. En français, ´´protocole de vérification de certificat en ligne´´. Il s'agit d'un protocole de navigation qui permet de vérifier la validité d'un certificat SSL à l'aide d'une liste blanche.

CRL

CRL signifie Certificate Revocation List. Par défaut, ce processus de validation est vérifié à l'aide d´une liste de révocation de certificats : une liste noire de l'autorité de certification sur laquelle cette dernière fait figurer tous les certificats révoqués. Chaque fois qu'un site web muni d´un certificat est visité, le navigateur soumet alors une demande à l'autorité de certification (AC), qui renvoie la CRL. Le navigateur peut ainsi vérifier si le certificat en question figure sur la liste noire. Si c'est le cas, le navigateur envoie un message d'erreur à l'utilisateur.

L'utilisation d'une CRL présente cependant quelques inconvénients : le navigateur doit à nouveau demander la CRL pour chaque certificat, ce qui entraîne un certain volume de trafic vers l'autorité de certification (AC) ; d'autant plus, lorsqu'il s'agit d'un site internet populaire fortement visité. Cela peut même générer tellement de trafic qu'il peut être utilisé à mauvais escient pour une attaque DDoS. Toutefois, si l´AC n'est pas joignable, aucune CRL ne peut être renvoyée permettant la vérification, et le navigateur peut supposer à tort que le certificat est fiable. Il est également important que l'AC tienne le CRL à jour.

OCSP

L'OCSP a été conçu comme une alternative au CRL et fonctionne avec une liste blanche à la place d'une liste noire. Au lieu de demander la liste noire complète, le navigateur n'envoie désormais que le certificat dont le statut doit être vérifié. L'AC renvoie l'état du certificat au navigateur, qui peut agir sur celui-ci. Cette méthode nécessite un trafic de données beaucoup moins important vers l'AC, et une manipulation beaucoup plus compacte dans le navigateur, car un minimum de réponse doit être lu. En outre, le navigateur ne redirige pas automatiquement l'utilisateur vers le site web si aucun contact ne peut être établi avec l'AC : l'utilisateur verra alors apparaître un message d'erreur.

Mais l'OCSP a aussi ses inconvénients : le risque de surcharge du système de l'AC est toujours présent, bien que plus faible. La demande adressée à l'AC est toujours exécutée par HTTP, ce qui permet aux pirates d'écouter. Enfin, on peut se demander dans quelle mesure il est sûr d'impliquer un tiers dans le contrôle de validité d'un certificat, même si ce tiers est l'autorité de certification qui a délivré le certificat.

OCSP Stapling

Dans le processus d´OCSP Stapling (ou Agrafage OCSP en français), ce n'est pas le navigateur, mais le serveur sur lequel le certificat est placé qui envoie une requête OCSP à l'AC. Il le fait régulièrement : ainsi, le résultat est toujours à jour. Le serveur joint ensuite le résultat à la poignée de main SSL (SSL handshake) qui est appelée lors de la connexion au serveur à partir d'un navigateur. Cela présente plusieurs avantages : moins de trafic est nécessaire entre le serveur et le navigateur, car la demande du navigateur est immédiatement satisfaite par le retour de la poignée de main SSL. La demande OCSP adressée à l'AC par le serveur est également en circuit fermé, et le résultat que le serveur reçoit doit toujours être signé par l'AC pour être valide. Il ne peut donc pas y avoir de détournement de ce système. Le résultat est conservé plus longtemps, ce qui le rend plus stable que le CRL ou l´OCSP. Si l'autorité de certification n'est pas joignable, le serveur aura toujours un résultat qui pourra être utilisé pour vérifier le certificat. Et lorsque le serveur ne peut pas renvoyer ce résultat au navigateur, une requête OCSP standard peut toujours être exécutée.

L'agrafage OCSP est un paramètre de votre installation sur le serveur web. L'activation de cette option dépend du logiciel utilisé sur votre serveur. Consultez le manuel de votre logiciel pour configurer l'agrafage OCSP.