OCSP stapling, ou comment fournir une attestation de validité du certificat à la connexion ?

Lorsqu'un navigateur internet (un client TLS) établit une connexion SSL, il doit valider le certificat serveur présenté. Cette validation est le plus souvent réalisée par le navigateur en interrogeant un serveur OCSP (Online Certificate Status Protocol), géré par l'autorité de certification.

Ce mécanisme fournit un bon niveau de sécurité (même s'il existe des soucis liés à l'implémentation du protocole), mais présente quelques inconvénients comme devoir établir une communication avec l'autorité de certification (pas toujours possible dans certains réseaux d'entreprise).

Pour pallier à cela, le mécanisme OCSP stapling (décrit dans RFC 4366) permet au serveur TLS de jouer le rôle de proxy (intermédiaire) et de fournir une attestation OCSP lors de la connexion TLS.

Le déployement sur les serveurs et navigateurs du marché est inégal, mais si vous disposez d'un serveur compatible, cela peut améliorer l'expérience de vos utilisateurs.

Serveurs supportant OCSP-stapling

• Apache 2.4+ : voir Activer OCSP stapling sur Apache 2.4+
• IIS 7.5+
• Nginx 1.3.7+ : voir Activer l'OCSP Stappling sur Nginx 1.3.7+

Navigateurs supportant OCSP-stapling

• Chrome 12+ sous Windows
• Internet Explorer 9+ sur Vista et supérieur
• Opera v11+

Tester votre certificat

Sur votre page statut du certificat, dans votre espace client chez TBS CERTIFICATS, vous pouvez visualiser l'état de votre certificat, s'il à été révoqué (a quelle date et par qui). Vous y trouverez aussi un bouton "Vérifier votre certificat" pour tester la bonne installation de votre certificat.

Notre outil de test CO-piBOT se connecte, par défaut, à votre site en HTTPS, établi une session SSL et analyse le résultat.
Vous pouvez aussi utiliser notre outil en utilisant d'autre protocoles (SMTPs, HTTPs, IMAPs, POPs, ...).

Notre outil CO-piBOT est aussi accessible en libre accès sur cette page.