Menu
picture of tbs certificates
picture of tbs certificates
Les produits
Notre gamme
Partenaires
Support
Numéro vert
Focus


Support du protocole OCSP

Le protocole OCSP permet de vérifier la validité d'un certificat en interrogeant en temps réel l'autorité de certification. Ce protocole est plus pratique que la consultation de CRL dans le sens où il n'est plus nécessaire au navigateur de télécharger toute la CRL. Il permet aussi de révoquer en certificat en quelques minutes, alors qu'il faut souvent plusieurs heures avec les CRLs.

Tous les certificats serveurs et développeur des marques DigiCert, Thawte, Sectigo, Geotrust et GlobalSign que nous commercialisons utilisent la technologie OCSP. Pour nos propres certificats sous la marque TBS X509, tous nos certificats émis depuis le 7 Novembre 2008 utilisent la technologie OCSP.

Edit du 19/11/2013 :

Firefox, Thunderbird et Seamonkey ne gèrent plus les CRLs depuis mi-septembre 2013, l'OSCP devient donc obligatoire pour ces navigateurs.

Il reste cependant possible d'importer une CRL manuellement : voir la documentation.

Problème rencontré sur des serveurs Windows (CRL - OCSP)

"echec revocation check failed"
"Statut de révocation inconnu."
"Impossible de contacter le serveur de révocation spécifié dans le certificat."
"l'état du certificat n'à pas pu être déterminé car la vérification de révocation a échoué"

Ce problème vient du fait que le serveur veut vérifier la CRL à l'importation des certificats, et que si son module, qui utilise WinHTTP, n'a pas accès à internet, l'opération échoue.

Solution :

  • vérifier que votre Pare-feu autorise bien les connexions sur le port 80 (HTTP) vers le serveur de l'autorité.
    par exemple, pour Sectigo, exécutez la commande :
    telnet ocsp.comodoca.com 80
  • il faut soit désactiver le proxy
    netsh winhttp reset proxy

    soit configurer le proxy de WinHTTP

Exemple

  • avec les certificats Sectigo :
    netsh winhttp set proxy proxy-server="http=monproxy" bypass-list="*.comodoca.com"
  • avec les certificats TBS X509 :
    netsh winhttp set proxy proxy-server="http=monproxy" bypass-list="*.tbs-x509.com"
    netsh winhttp set proxy proxy-server="http=monproxy" bypass-list="*.usertrust.com"
  • avec les certificats Globalsign :
    netsh winhttp set proxy proxy-server="http=monproxy" bypass-list="*.globalsign.com"
  • avec les certificats Thawte :
    netsh winhttp set proxy proxy-server="http=monproxy" bypass-list="*.thawte.com"

Liens Utiles