Qu’est-ce que l’agrafage OCSP et comment l’utiliser ?

Dernière mise à jour le par Dionisie Gitlan
Agrafage OCSP

En matière de sécurité en ligne, l’agrafage OCSP est une technologie cruciale qui améliore à la fois la vitesse et la confidentialité des connexions SSL/TLS. En tirant parti de cette technologie, les sites web peuvent fournir des informations sur les certificats de manière plus efficace, ce qui améliore à la fois les performances du site web et l’expérience de l’utilisateur.

Dans cet article, nous verrons ce qu’est l’agrafage OCSP, ses avantages, son fonctionnement et pourquoi il est devenu un élément essentiel de l’optimisation SSL.

Table des matières

  1. Qu’est-ce que l’agrafage OCSP ?
  2. Pourquoi l’agrafage OCSP a-t-il été développé ?
  3. Comment fonctionne l’agrafage OCSP ?
  4. Principaux avantages de l’agrafage OCSP
  5. Différence entre OCSP et l’agrafage OCSP
  6. Alternatives à l’agrafage OCSP : L’agrafage obligatoire de l’OCSP
  7. Inconvénients de l’agrafage OCSP
  8. Comment activer l’agrafage OCSP ?
Obtenez des certificats SSL dès aujourd'hui

Qu’est-ce que l’agrafage OCSP ?

L’agrafage OCSP est une fonction avancée des protocoles protocoles SSL/TLS qui permet à un serveur web de fournir une réponse OCSP (Online Certificate Status Protocol) directement aux clients, tels que les navigateurs web, au cours de la poignée de main SSL. Traditionnellement, les clients web interrogeaient l autorité de certification (CA) pour vérifier l’état du certificat SSL d’un site. Cependant, l’agrafage OCSP modifie ce processus en permettant au serveur d'”agrafer” une réponse OCSP récente à sa poignée de main SSL, ce qui évite au client d’avoir à interagir avec l’autorité de certification.

Le protocole OCSP lui-même est conçu pour garantir que les certificats SSL sont toujours valides et n’ont pas été révoqués en fournissant des mises à jour d’état par l’intermédiaire d’un répondeur OCSP. Il agit comme une alternative à la liste traditionnelle de révocation des certificats pour vérifier la validité. En activant l’agrafage OCSP, les propriétaires de sites web contribuent à minimiser le besoin de requêtes externes, offrant ainsi un processus de vérification SSL plus rapide et plus privé.

Pourquoi l’agrafage OCSP a-t-il été développé ?

L’agrafage OCSP a été introduit pour résoudre plusieurs problèmes liés aux vérifications OCSP traditionnelles, principalement des problèmes de latence et de confidentialité, et pour identifier efficacement les certificats révoqués.

Avec l’approche OCSP traditionnelle, chaque fois qu’un client (comme un navigateur web) a besoin de vérifier un certificat SSL, il doit envoyer des requêtes OCSP à l’autorité de certification pour confirmer la validité du certificat. Cette requête directe entraîne souvent des temps de chargement plus lents, car le navigateur doit attendre une réponse d’un serveur externe. En outre, les requêtes OCSP directes exposent l’activité du client à l’autorité de certification, ce qui crée un risque pour la vie privée.

L’agrafage OCSP a été développé pour résoudre ces problèmes en permettant au serveur web lui-même d’obtenir et de mettre en cache une réponse OCSP. De cette manière, le serveur peut fournir une réponse OCSP valide directement aux clients sans avoir besoin d’étapes de vérification séparées, ce qui réduit le temps de latence et protège la vie privée des clients.

Comment fonctionne l’agrafage OCSP ?

Le processus est simple mais efficace. Voici une explication étape par étape :

  1. Demande du serveur: Le serveur web demande périodiquement une réponse OCSP à l’autorité de certification. Cette réponse indique l’état de révocation du certificat et confirme sa validité.
  2. Mise en cache de la réponse: Le serveur met en cache cette réponse OCSP, ce qui permet de l’utiliser plusieurs fois au cours d’une certaine période (généralement 24 heures). C’est cette réponse mise en cache que le serveur fournira ultérieurement aux clients qui se connectent.
  3. Agrafage de la réponse: Lorsqu’un client tente d’établir une connexion SSL, le serveur inclut la réponse OCSP mise en cache dans le cadre de la poignée de main SSL. Cette réponse agrafée confirme au client que le certificat SSL est toujours valide, sans nécessiter de demande supplémentaire de la part de l’autorité de certification.
  4. Vérification par le client: Le client (par exemple, un navigateur web) vérifie la réponse OCSP agrafée pendant l’échange SSL. Si la réponse est valide et récente, le client achève la connexion sans avoir à vérifier directement auprès de l’autorité de certification.

En agrafant la réponse OCSP, le serveur peut réduire la latence et améliorer la vitesse du handshake SSL, ce qui rend la connexion à la fois plus rapide et plus sûre.

Principaux avantages de l’agrafage OCSP

Sa mise en œuvre présente plusieurs avantages pour les performances des sites web et la protection de la vie privée des utilisateurs :

  • Réduction de la vitesse et de la latence: En fournissant directement la réponse OCSP, le serveur élimine la nécessité d’une demande distincte à l’autorité de certification, ce qui réduit la latence et accélère les échanges SSL.
  • Amélioration de la protection de la vie privée des utilisateurs: Les requêtes OCSP directes permettent aux autorités de certification de savoir quels clients visitent un site particulier. En utilisant l’agrafage OCSP, cette information n’est plus partagée, ce qui protège la vie privée de l’utilisateur.
  • Réduction de la charge des autorités de certification (AC): Il réduit le volume des demandes que les autorités de certification doivent traiter, ce qui améliore la fiabilité et la réactivité des systèmes des autorités de certification.

Ces avantages en font un outil puissant pour améliorer les connexions SSL, ce qui en fait un choix de plus en plus populaire pour les propriétaires et administrateurs de sites web.

Différence entre OCSP et l’agrafage OCSP

Il est essentiel de comprendre la distinction entre l’OCSP traditionnel et l’agrafage OCSP pour comprendre pourquoi ce dernier est préféré pour les implémentations SSL modernes.

Dans une configuration OCSP traditionnelle, le client interroge directement l’autorité de certification pour vérifier l’état du certificat. Bien qu’efficace, ce processus peut ralentir les temps de chargement, car chaque requête introduit une nouvelle demande externe. En outre, l’OCSP traditionnel expose l’adresse IP du client à l’autorité de certification, ce qui peut poser des problèmes de confidentialité.

Avec l’agrafage OCSP, cependant, le serveur traite cette demande de réponse OCSP au nom du client. Il récupère et met en cache l’état du certificat numérique directement auprès de l’autorité de certification, ce qui lui permet d'”agrafer” cette réponse à la poignée de main SSL. Ainsi, le client obtient la vérification du certificat sans demande supplémentaire, ce qui permet une vérification SSL plus rapide et plus privée.

Alternatives à l’agrafage OCSP : L’agrafage obligatoire de l’OCSP

Pour les sites web qui ont besoin d’une couche supplémentaire de sécurité SSL, OCSP Must-Staple est une alternative convaincante. Cette fonction exige que le serveur inclue toujours une réponse OCSP valide lors de l’échange de données SSL. OCSP Must-Staple ajoute une directive de sécurité au certificat SSL lui-même, indiquant aux navigateurs de rejeter le certificat si une réponse OCSP agrafée n’est pas fournie par le serveur.

Principaux avantages de l’agrafe OCSP

  • Garantit la validation de certificats récents: Contrairement à l’agrafage OCSP standard, qui peut fournir une réponse OCSP périmée, l’agrafage OCSP obligatoire exige que la réponse soit à la fois valide et récente. Cela garantit un niveau de confiance plus élevé dans l’état du certificat.
  • Renforcement des normes de sécurité: En rendant l’agrafage OCSP obligatoire, OCSP Must-Staple réduit le risque qu’un certificat invalide ne soit pas détecté par les clients, ce qui en fait la solution idéale pour les sites qui accordent la priorité à des normes de sécurité élevées.

Bien que l’agrafage obligatoire OCSP offre une sécurité accrue, il peut ne pas convenir à tous les sites. Par exemple, les petits sites web ou les sites qui n’ont pas besoin d’une sécurité élevée peuvent trouver que la configuration standard de l’agrafage OCSP est suffisante.

Economisez 10% sur les certificats SSL

Inconvénients de l’agrafage OCSP

Si l’agrafage OCSP présente des avantages notables, il est également essentiel de prendre en compte les inconvénients et les limites potentiels.

  • Dépendance à l’égard du serveur: La réponse OCSP étant fournie par le serveur, celui-ci est responsable de la mise à jour régulière et de la mise en cache des réponses valides. Si la réponse OCSP devient obsolète ou invalide, cela peut affecter les échanges SSL.
  • Problèmes de compatibilité: Certains clients plus anciens peuvent ne pas prendre totalement en charge l’agrafage OCSP, ce qui peut entraîner des problèmes de compatibilité. Cependant, la plupart des navigateurs et appareils modernes peuvent traiter les réponses OCSP agrafées.
  • Point de défaillance unique: Si le mécanisme d’agrafage OCSP rencontre des problèmes, il peut empêcher les clients de confirmer l’état du certificat SSL, ce qui risque d’interrompre l’accès des utilisateurs.

Comment activer l’agrafage OCSP ?

Vous trouverez ci-dessous des instructions pour activer l’agrafage OCSP sur les très populaires serveurs Windows, Apache et Nginx.

Activer l’agrafage OCSP sous Windows

L’agrafage OCSP est activé par défaut sur Windows Server 2008 et les versions ultérieures. Si vous utilisez une version antérieure de Windows Server, il n’est pas possible de l’activer. Veuillez passer à Windows 2008 ou à une version ultérieure.

Activer l’agrafage OCSP sur Apache

Apache prend en charge l’agrafage OCSP à partir du serveur Web Apache HTTPD 2.3.3+. Si vous ne savez pas quelle version vous utilisez, utilisez les commandes suivantes :

apache2 -v
httpd -v

Ensuite, vérifiez si l’OCSP est activé. Suivez les étapes ci-dessous :

  1. Dans OpenSSL, entrez la commande suivante :

    openssl.exe s_client -connect [yourdomain .com]:443 -status

    Si OCSP est activé, vous recevrez la réponse suivante dans la section OCSP Response Data : “OCSP Response Status : successful (0x0)”. Si OCSP n’est pas activé, vous ne verrez pas de données de réponse OCSP. Dans ce cas, assurez-vous que votre certificat intermédiaire est correctement installé.
  2. Vérifiez que votre serveur Apache s’est connecté avec succès au serveur OCSP. Exécutez la commande ci-dessous :

    curl ocsp.digicert.com/ping.html
  3. Pour activer l’agrafage OCSP, vous devez modifier le fichier de configuration de l’hôte virtuel de votre site (votre-domaine.com-ssl.conf) à l’aide de l’éditeur de votre choix. Le fichier de configuration se trouve généralement dans le répertoire suivant : etc/apache2/sites-available/your-domain.com-ssl.conf
  4. Ouvrez le fichier et apportez les modifications suivantes :
    • Ajoutez les lignes suivantes à l’intérieur des balises <VirtualHost>:

      SSLUseStapling on
      SSLStaplingResponderTimeout 5
      SSLStaplingReturnResponderErrors off
    • Ajoutez une ligne à l’intérieur des balises qui pointe vers un fichier de chaîne de certificats de confiance. Il doit contenir les certificats intermédiaire et racine dans l’ordre :

      SSLCACertificateFile /etc/apache2/ssl/full_chain.pem
    • Ajoutez la ligne suivante à l’extérieur des balises <VirtualHost>:

      SSLStaplingCache shmcb:/var/run/ocsp(128000)
  5. Testez votre configuration :

    apachectl -t
  6. Redémarrer le serveur Apache

    apachectl restart

Activer l’agrafage OCSP sur NGINX

Il est disponible sur NGINX 13,7 ou plus récent. Vérifiez la version de votre serveur web NGINX :
nginx-v

Utilisez les lignes de commande OpenSSL suivantes :

  1. Vérifier s’il est activé. Dans OpenSSL, exécutez la commande suivante :

    openssl s_client -connect [yourdomain .com]:443 -status
  2. Si OCSP est activé, la section “OCSP Response Data” (données de la réponse OCSP) doit contenir la mention suivante : État de la réponse OCSP : succès (0x0)
  3. Si elle n’est pas activée, vous ne verrez pas de données de réponse OCSP. Si vous ne recevez pas de confirmation que l’OCSP est activé, utilisez ce guide de dépannage.
  4. Pour l’activer, il faut d’abord éditer le fichier de configuration des blocs serveurs de votre site (ou nginx.conf si les blocs serveurs ne sont pas utilisés) :

    nano /etc/nginx/sites-enabled/my-domain.com-ssl.conf

    ou

    nano /etc/nginx/nginx.conf

    Remarque : si vous devez l’activer sur un seul bloc de serveurs, il doit s’agir du “default_server”. Si vous devez l’activer sur plusieurs blocs de serveurs, vous devez d’abord l’activer sur le “default_server”. Il peut ensuite être activé sur n’importe quel autre bloc de serveurs.
  5. Activez l’agrafage OCSP et permettez au serveur de vérifier l’agrafage OCSP en ajoutant deux lignes à l’intérieur du bloc serveur :

    ssl_staplingon ;
    ssl_stapling_verifyon ;
  6. Indiquez un fichier de chaîne de certificats de confiance qui contient les certificats intermédiaires et racine dans l’ordre :

    ssl_trusted_certificate/etc/nginx/ssl/full_chain.pem
  7. Vérifiez votre configuration :

    sudo service nginx configtest
  8. Redémarrer NGINX :

    sudo service nginx reload

En conclusion

Chez SSL Dragon, nous nous engageons à vous aider à naviguer dans les complexités de la sécurité SSL/TLS afin de fournir la meilleure expérience de navigation possible à vos utilisateurs. L’agrafage OCSP est un outil puissant pour augmenter la vitesse et la confidentialité des connexions SSL, ce qui en fait une fonctionnalité essentielle pour les sites web modernes.

Nous proposons une large sélection de certificats SSL qui prennent en charge l’agrafage OCSP, garantissant ainsi que votre site répond aux normes les plus strictes en matière de vitesse et de sécurité. Commencez à optimiser votre configuration SSL dès aujourd’hui et voyez la différence avec des connexions plus rapides et plus sûres.

Economisez 10% sur les certificats SSL en commandant aujourd’hui!

Émission rapide, cryptage puissant, confiance de 99,99 % du navigateur, assistance dédiée et garantie de remboursement de 25 jours. Code de coupon: SAVE10

Commander
Image détaillée d'un dragon en vol
Rédigé par

Rédacteur de contenu expérimenté spécialisé dans les certificats SSL. Transformer des sujets complexes liés à la cybersécurité en un contenu clair et attrayant. Contribuer à l'amélioration de la sécurité numérique par des récits percutants.

Articles connexes
Vérifier un certificat SSL sous Linux avec OpenSSL
Comment vérifier un certificat SSL sous Linux avec OpenSSL
Qu’est-ce qu’OpenSSL ? Comment fonctionne OpenSSL ?
Le port 443 expliqué : Qu’est-ce que c’est et pourquoi l’utiliser ?
Perfect Forward Secrecy (secret parfait)
Qu’est-ce que le secret parfait en matière de cybersécurité ?
Port SSL
Qu’est-ce qu’un port SSL ? Le guide complet