Définition - Que signifie l'agrafage du protocole d'état du certificat en ligne (OCSP Stapling)?
L'agrafage du protocole d'état des certificats en ligne (agrafage OCSP; officiellement l'extension TLS Certificate Status Request) est une amélioration du protocole OCSP standard, qui profite aux utilisateurs finaux tels que les administrateurs de serveurs Web, les développeurs d'applications et les développeurs de navigateurs pour vérifier les certificats numériques ou les certificats de clé publique , les statuts comme alternative à OCSP.
L'agrafage fournit les réponses OCSP du serveur fournissant le certificat et supprime le besoin des parties finales ou des utilisateurs de vérifier les réponses auprès de l'autorité de certification (CA) émettrice. L'utilisation de l'agrafage OCSP permet au détenteur d'un certificat numérique d'assumer la responsabilité des coûts de ressources en fournissant des réponses OCSP, en remplacement de l'émission de l'AC.
Definir Tech explique l'agrafage du protocole d'état du certificat en ligne (agrafage OCSP)
Lorsqu'un client TLS (navigateur) crée une connexion SSL, il vérifie d'abord la légitimité du certificat numérique dont dispose le serveur. Ce processus de vérification est géré par l'autorité de certification via l'utilisation d'un serveur OCSP que le navigateur interroge. Le processus n'offre qu'un niveau de sécurité acceptable; cependant, certains problèmes subsistent, comme l'obligation de permettre une forme de communication avec l'AC, ce qui n'est pas toujours possible selon la structure organisationnelle. Ainsi, pour l'empêcher, l'agrafage OCSP permet au serveur TLS d'agir comme un intermédiaire et de fournir une confirmation OCSP de sa validité lors de la connexion.
Dans l'agrafage OCSP, le détenteur du certificat vérifie régulièrement avec le serveur OCSP et obtient une réponse OCSP horodatée signée à chaque requête. Ainsi, lorsqu'un navigateur se connecte à un site, il inclut une extension de demande de statut de certificat avec son message d'établissement de liaison, la réponse OCSP est agrafée ou incluse avec la réponse TLS / SSL du serveur. L'agrafage de la réponse OCSP ajuste le coût des ressources en donnant une réponse OCSP de l'autorité de certification, plutôt que de connecter chaque client au répondeur OCSP chaque fois qu'il souhaite déterminer son statut de révocation de son certificat à des intervalles prédéfinis.