Si le client ne reçoit pas de réponse agrafée, il contactera simplement le serveur OCSP par lui-même … En conséquence, les clients continuent d'avoir l'assurance vérifiable de l'autorité de certification que le certificat est actuellement valide (ou l'était tout récemment), mais il n'est plus nécessaire de contacter individuellement le serveur OCSP.
L'agrafage OCSP est-il nécessaire ?
OCSP must-staple
Un attaquant avec un certificat révoqué peut simplement négliger de fournir une réponse OCSP lorsqu'un navigateur s'y connecte et le navigateur acceptera leur certificat révoqué. Dans le cas de la récupération OCSP, une approche soft-fail a du sens.
Comment savoir si votre OCSP a été agrafé ?
Vérifiez si l'agrafage OCSP est activé.
Allez sur https://www.digicert.com/help et dans la case Adresse du serveur, saisissez l'adresse de votre serveur (c'est-à-dire www.digicert.com). Si l'agrafage OCSP est activé, sous le certificat SSL n'a pas été révoqué, à droite de l'agrafage OCSP, il est indiqué Bon.
Comment activer l'agrafage OCSP ?
Configurez votre serveur Apache pour utiliser l'agrafage OCSP
- Modifiez la configuration SSL VirtualHost de votre site. Ajoutez la ligne suivante À L'INTÉRIEUR du bloc: SSLUseStapling on. …
- Vérifiez la configuration pour les erreurs avec le service Apache Control. Apachectl -t.
- Rechargez le service Apache. service apache2 recharge.
Comment fonctionne l'agrafage OCSP ?
Comment fonctionne l'agrafage OCSP. L'agrafage OCSP est un moyen plus efficace de gérer la vérification des informations de certificat. … Lorsqu'un utilisateur tente de visiter le site, la réponse horodatée numériquement est alors "agrafée" avec la poignée de main TLS/SSL via la réponse de l'extension Certificate Status Request.
