Qu’est-ce que l’agrafage OCSP et comment l’utiliser ?

Dernière mise à jour le par Dionisie Gitlan

Un certificat SSL valide signé par une autorité de certification de confiance est aujourd’hui obligatoire pour tous les sites web. Si votre certificat a expiré ou a été révoqué, les navigateurs ne lui feront plus confiance. Les navigateurs utilisent le protocole OCSP (Online Certificate Status Protocol) pour déterminer la validité de votre certificat SSL. Toutefois, l’OCSP original présente quelques lacunes que la technologie d’agrafage de l’OCSP permet de surmonter avec succès.

Dans cet article, vous apprendrez ce qu’est l’agrafage OCSP, comment il fonctionne et pourquoi il est important pour la gestion et l’infrastructure SSL.

Table des matières

  1. Qu’est-ce que l’OCSP ?
  2. Qu’est-ce que l’agrafage OCSP ?
  3. Comment fonctionne l’agrafage OCSP
  4. Quels sont les avantages de l’agrafage OCSP ?
  5. Quelles sont les limites de l’agrafage OCSP ?
  6. Quels sont les navigateurs qui prennent en charge l’agrafage OCSP ?
  7. Comment vérifier si l’agrafage OCSP est activé sur votre serveur ?
  8. Comment activer l’agrafage OCSP ?

Qu’est-ce que l’OCSP ?

En termes simples, OCSP est un moyen pour votre appareil (mobile ou de bureau) de vérifier si un certificat numérique utilisé par un site web est toujours valide.

Les certificats SSL sécurisent les sites web et les transactions en ligne en vérifiant leur identité et en cryptant les données échangées entre les navigateurs des utilisateurs et les serveurs des sites. Cependant, tous les certificats de confiance ont une date d’expiration. En outre, ils peuvent être révoqués en cas d’incidents de sécurité critiques et ne sont plus fiables.

C’est là qu’intervient l’OCSP. Lorsque vous visitez un site web utilisant le protocole HTTPS, votre navigateur vérifie auprès de l’autorité de certification (AC) du site web si le certificat est toujours valide.

Ce processus se déroule en arrière-plan et, si le certificat n’est plus valide, votre navigateur affiche un message d’avertissement pour vous avertir des risques potentiels pour la sécurité.

Qu’est-ce que l’agrafage OCSP ?

L’agrafage OCSP est une technologie qui améliore les performances et la sécurité du contrôle OCSP (Online Certificate Status Protocol) effectué par un navigateur web pour valider le certificat SSL d’un site web.

Avec l’agrafage OCSP, le serveur du site web obtient la réponse OCSP de l’autorité de certification et l'”agrafe” au certificat SSL au cours du processus d’échange SSL. La réponse agrafée est ensuite envoyée au navigateur avec le certificat, ce qui évite au navigateur d’effectuer une vérification OCSP distincte.

Qu’est-ce que l’agrafe obligatoire OCSP ?

OCSP Must-Staple est une extension de sécurité qui peut être ajoutée à un certificat SSL pour garantir que l’état du certificat est vérifié à chaque fois qu’un site web est visité. Lorsque l’option OCSP Must-Staple est activée pour un certificat, le serveur du site web est tenu de fournir au client une agrafe OCSP chaque fois qu’il reçoit un certificat SSL.

Si le serveur n’obtient pas de réponse valide lors de la vérification de l’état du certificat, le site web ne se chargera pas. Cela permet d’empêcher les attaquants d’utiliser des certificats révoqués pour usurper l’identité de sites web ou intercepter des données sensibles.

En quoi l’agrafage OCSP diffère-t-il des LCR ?

L’agrafage OCSP et les listes de révocation de certificats (CRL) sont utilisés pour vérifier l’état de révocation des certificats SSL. Cependant, ils fonctionnent et ont un impact différent sur le processus de poignée de main SSL.

Les listes de révocation de certificats (CRL) sont des référentiels qui contiennent une liste de certificats révoqués. Lorsqu’un client se connecte à un serveur via SSL, le serveur envoie son certificat numérique au client.

Le client vérifie ensuite l’état de révocation du certificat en téléchargeant la CRL à partir du référentiel de l’émetteur du certificat et en comparant le numéro de série du certificat à la liste des certificats révoqués. Si le certificat figure dans la CRL, le client rejette le certificat et met fin à la poignée de main.

L’agrafage OCSP, quant à lui, est un mécanisme qui permet au serveur de fournir une réponse OCSP (Online Certificate Status Protocol) signée et horodatée avec son certificat numérique lors de la demande d’état du certificat.

Comme il contient déjà l’état de révocation du certificat, le client doit se contenter de vérifier le répondeur OCSP directement fourni par le serveur au lieu de télécharger la CRL et de vérifier l’état du certificat par rapport à la liste des certificats révoqués.

Pourquoi l’agrafage OCSP est-il important ?

Lorsque vous accédez à un site web HTTPS, votre navigateur vérifie l’état de votre certificat numérique. Pour confirmer que votre certificat est toujours valide, le navigateur utilise OCSP pour contacter son émetteur, c’est-à-dire l’autorité de certification. L’autorité de certification étant la seule entité à détenir des informations cruciales sur le certificat SSL, elle doit répondre à un grand nombre de demandes OCSP en temps réel, en particulier de la part de sites web à fort trafic.

D’un point de vue financier, cette pratique est coûteuse pour l’autorité de certification, mais les utilisateurs finaux sont également concernés, car les réponses OCSP multiples ralentissent la vitesse de chargement. Avec l’OCSP simple, les navigateurs doivent se renseigner sur le certificat auprès du serveur web et de l’autorité de certification. L’agrafage OCSP simplifie l’ensemble du processus.

Comment fonctionne l’agrafage OCSP

Comme vous le savez déjà, lorsqu’un navigateur se connecte à un site web sécurisé, il doit contacter les serveurs OCSP de l’autorité de certification pour vérifier la validité du certificat SSL. Ce processus peut retarder le temps de chargement de la page, car le navigateur doit attendre la réponse du serveur OCSP.

L’agrafage OCSP améliore le protocole OCSP en permettant au serveur web, et non au navigateur, d’interroger l’autorité de certification sur l’état du certificat SSL. Lorsque le serveur web contacte le fournisseur SSL, l’autorité de certification délivre une réponse numérique hautement sécurisée et horodatée. Désormais, lorsque le serveur web se connecte à un navigateur, il lie l’horodatage signé au certificat SSL, ce qui accélère la vérification. Au lieu d’atteindre l’autorité de certification, le navigateur vérifie l’horodatage du serveur et, puisqu’il s’agit d’une autorité de certification fiable, fait confiance au certificat.

Quels sont les avantages de l’agrafage OCSP ?

L’agrafage OCSP présente plusieurs avantages, dont les principaux sont le renforcement de la sécurité, l’amélioration des performances et la réduction du trafic sur le réseau.

  • Sécurité renforcée. L’agrafage OCSP prévient les attaques de sécurité qui peuvent se produire en raison de certificats révoqués. La réponse agrafée garantit que le client dispose de l’état de révocation du certificat le plus récent, ce qui réduit le risque d’attaques de type “man-in-the-middle” et d’autres vulnérabilités basées sur le certificat.
  • Amélioration des performances. L’agrafage OCSP améliore les performances en réduisant le temps de latence associé aux contrôles de révocation des certificats. Au lieu que le client doive interroger directement le serveur OCSP de l’autorité de certification, le serveur peut fournir une réponse agrafée dans le cadre de la poignée de main SSL, ce qui réduit les allers-retours et accélère l’établissement de la connexion.
  • Diminution du trafic sur le réseau. En éliminant la nécessité de contacter directement le serveur OCSP de l’autorité de certification, l’agrafage OCSP peut réduire de manière significative le trafic réseau et la charge du serveur. Cela peut contribuer à améliorer l’évolutivité et la fiabilité du site web, en particulier pendant les périodes de forte affluence.

Quelles sont les limites de l’agrafage OCSP ?

Bien que l’agrafage OCSP offre plusieurs avantages, il présente des limites et des inconvénients potentiels. En voici quelques-unes :

  • Risques éventuels pour la sécurité. L’agrafage OCSP implique l’envoi d’informations sensibles en texte clair sur le réseau, ce qui peut créer des risques potentiels pour la sécurité. Par exemple, un pirate peut être en mesure d’intercepter et de modifier la réponse agrafée, ce qui donne au client un faux sentiment de sécurité.
  • Dépendance à l’égard de l’autorité de certification. L’agrafage OCSP nécessite que le serveur web obtienne la réponse agrafée auprès du serveur OCSP de l’autorité de certification. Si le serveur OCSP de l’autorité de certification est en panne ou connaît des problèmes, le serveur web ne fournira pas de réponse agrafée valide.
  • Problèmes de mise en cache. Les réponses à l’agrafage OCSP sont mises en cache par les clients et les serveurs, ce qui peut créer des problèmes si le cache n’est pas mis à jour régulièrement. Si un certificat est révoqué après la mise en cache de la réponse d’agrafage, le client peut encore faire confiance au certificat jusqu’à ce que le cache soit mis à jour.

Quels sont les navigateurs qui prennent en charge l’agrafage OCSP ?

La plupart des navigateurs modernes tels que Chrome, Firefox, Safari et Microsoft Edge prennent en charge l’agrafage OCSP. Toutefois, certains navigateurs plus anciens ou moins utilisés peuvent ne pas le prendre en charge, ou le niveau de prise en charge peut varier en fonction de la version et de la configuration spécifiques.

Comment vérifier si l’agrafage OCSP est activé sur votre serveur ?

Vous pouvez utiliser un outil en ligne ou un utilitaire de ligne de commande comme OpenSSL pour vérifier si le serveur a activé l’agrafage OCSP par défaut. La marche à suivre exacte dépend du type de serveur que vous utilisez. Dans la section suivante, nous expliquons comment vérifier l’état de l’agrafage OCSP et l’activer sous Windows, Apache et Nginix.

Comment activer l’agrafage OCSP ?

Vous trouverez ci-dessous des instructions pour activer l’agrafage OCSP sur les très populaires serveurs Windows, Apache et Nginx.

Activer l’agrafage OCSP sous Windows

L’agrafage OCSP est activé par défaut sur Windows Server 2008 et les versions ultérieures. Si vous utilisez une version antérieure de Windows Server, l’activation de l’agrafage OCSP n’est pas possible. Veuillez passer à Windows 2008 ou à une version ultérieure.

Activer l’agrafage OCSP sur Apache

Apache prend en charge l’agrafage OCSP à partir du serveur Web Apache HTTPD 2.3.3+. Si vous ne savez pas quelle version vous utilisez, utilisez les commandes suivantes :

apache2 -v
httpd -v

Ensuite, vérifiez si l’OCSP est activé. Suivez les étapes ci-dessous :

  1. Dans OpenSSL, entrez la commande suivante :

    openssl.exe s_client -connect [yourdomain .com]:443 -status

    Si OCSP est activé, vous recevrez la réponse suivante dans la section OCSP Response Data : “OCSP Response Status : successful (0x0)”. Si OCSP n’est pas activé, vous ne verrez pas de données de réponse OCSP. Dans ce cas, assurez-vous que votre certificat intermédiaire est correctement installé.
  2. Vérifiez que votre serveur Apache s’est connecté avec succès au serveur OCSP. Exécutez la commande ci-dessous :

    curl ocsp.digicert.com/ping.html
  3. Pour activer l’agrafage OCSP, vous devez modifier le fichier de configuration de l’hôte virtuel de votre site (votre-domaine.com-ssl.conf) à l’aide de l’éditeur de votre choix. Le fichier de configuration se trouve généralement dans le répertoire suivant : etc/apache2/sites-available/your-domain.com-ssl.conf
  4. Open the file and make the following changes:
    • Ajoutez les lignes suivantes à l’intérieur des balises <VirtualHost>:

      SSLUseStapling on
      SSLStaplingResponderTimeout 5
      SSLStaplingReturnResponderErrors désactivé
    • Ajoutez une ligne à l’intérieur des balises qui pointe vers un fichier de chaîne de certificats de confiance. Il doit contenir les certificats intermédiaire et racine dans l’ordre :

      SSLCACertificateFile /etc/apache2/ssl/full_chain.pem
    • Ajoutez la ligne suivante à l’extérieur des balises <VirtualHost>:

      SSLStaplingCache shmcb:/var/run/ocsp(128000)
  5. Testez votre configuration :

    apachectl -t
  6. Redémarrer le serveur Apache

    apachectl restart

Activer l’agrafage OCSP sur NGINX

L’agrafage OCSP est disponible sur NGINX 13,7 ou plus. Vérifiez la version de votre serveur web NGINX :
nginx-v

Utilisez les lignes de commande OpenSSL OCSP stapling suivantes :

  1. Vérifier si l’agrafage OCSP est activé. Dans OpenSSL, exécutez la commande suivante :

    openssl s_client -connect [yourdomain .com]:443 -status
  2. Si OCSP est activé, la section “OCSP Response Data” (données de la réponse OCSP) doit contenir la mention suivante : État de la réponse OCSP : succès (0x0)
  3. Si elle n’est pas activée, vous ne verrez pas de données de réponse OCSP. Si vous ne recevez pas de confirmation que l’OCSP est activé, utilisez ce guide de dépannage.
  4. Pour activer l’agrafage OCSP, il faut d’abord éditer le fichier de configuration du bloc serveur de votre site (ou nginx.conf si les blocs serveurs ne sont pas utilisés) :

    nano /etc/nginx/sites-enabled/my-domain.com-ssl.conf

    ou

    nano /etc/nginx/nginx.conf

    Note : Si vous devez activer l’agrafage OCSP sur un seul bloc de serveurs, il doit s’agir du “default_server”. Si vous devez l’activer sur plusieurs blocs de serveurs, vous devez d’abord l’activer sur le “default_server”. Il peut ensuite être activé sur n’importe quel autre bloc de serveurs.
  5. Activez l’agrafage OCSP et autorisez le serveur à vérifier l’agrafage OCSP en ajoutant deux lignes à l’intérieur du bloc serveur :

    ssl_stapling on ;
    ssl_stapling_verify on ;
  6. Indiquer un fichier de chaîne de certificats de confiance qui contient les certificats intermédiaires et les certificats racine dans l’ordre :

    ssl_trusted_certificate /etc/nginx/ssl/full_chain.pem
  7. Vérifiez votre configuration :

    sudo service nginx configtest
  8. Redémarrer NGINX :

    sudo service nginx reload

Conclusion

L’agrafage OCSP est un autre ajout utile à la liste toujours croissante des extensions SSL/TLS. L’évolution du web s’accompagne de celle de la technologie de gestion des certificats. En incluant une réponse signée numériquement dans la poignée de main initiale, le serveur évite aux clients d’interroger le répondeur OCSP de l’autorité de certification, ce qui réduit le temps de latence et les problèmes potentiels de confidentialité.

Economisez 10% sur les certificats SSL en commandant aujourd’hui!

Émission rapide, cryptage puissant, confiance de 99,99 % du navigateur, assistance dédiée et garantie de remboursement de 25 jours. Code de coupon: SAVE10

Économisez 10% dès maintenant!
Rédigé par

Rédacteur de contenu expérimenté spécialisé dans les certificats SSL. Transformer des sujets complexes liés à la cybersécurité en un contenu clair et attrayant. Contribuer à l'amélioration de la sécurité numérique par des récits percutants.

Articles connexes
Comment vérifier un certificat avec les commandes OpenSSL sous Linux ?
Qu’est-ce qu’OpenSSL ? Comment fonctionne OpenSSL ?
Le port 443 expliqué : Qu’est-ce que c’est et pourquoi l’utiliser ?
Port 443 vs 80 : Quelles sont les différences ?
Qu’est-ce que le PFS dans le domaine de la cybersécurité ? Explication du secret parfait (Perfect Forward Secrecy)