Protocole de vérification en ligne de certificat

Protocole de vérification en ligne de certificat

Protocole de vérification en ligne de certificat

Le protocole de vérification en ligne de certificat OCSP (Online Certificate Status Protocol) est un protocole Internet utilisé pour valider un certificat numérique X.509. C'est un standard Internet décrit dans la RFC 2560. Ce protocole est une alternative réglant certains des problèmes posés par les listes de révocation de certificats (CRL) dans une infrastructure à clés publiques (PKI). Les messages OCSP sont encodés en ASN.1 et peuvent être transportés par différents protocoles applicatifs (SMTP, LDAP, ... mais HTTP est le plus courant). Les communications OCSP étant de la forme "requête/réponse", les serveurs OCSP sont appelés répondeurs OCSP.

Sommaire

Centralisation de la validation des certificats

La validation des certificats est une tâche plus complexe qu'il n'y paraît. Elle est traditionnellement effectuée par le client de la PKI. Une grande confiance est ainsi accordée au client pour ce traitement critique. Or une grande partie des clients PKI effectuent leur validation de manière encore incomplète ou imparfaite (en 2006). Par exemple, la non-automatisation de la récupération des CRL des navigateurs web pose un problème quant à la mise à jour des informations.

OCSP permet de centraliser cette tâche au sein d'une PKI. Afin de valider un certificat, le client n'a plus à communiquer qu'avec une seule entité : le répondeur OCSP. On peut parler aussi d'autorité de validation (VA pour Validation Authorithy).

Avantage par rapport aux CRL

Plusieurs raisons peuvent amener à préférer le protocole OCSP aux traditionnelles CRL.

  • OCSP fournit des informations sur le statut du certificat plus à jour.
  • Avec OCSP, le client n'a plus besoin de récupérer lui-même la CRL. Vue la taille parfois importante de cette CRL, cela allège le trafic réseau.
  • Le client n'a plus à traiter lui-même la CRL. Cela permet l'économie d'un traitement relativement complexe.
  • Le répondeur OCSP permet de proposer des mécanismes de facturation au vendeur, et non pas à l'acheteur
  • Les CRL peuvent être comparées à une "liste de mauvais clients" d'une banque. Cela constitue une fuite d'information non souhaitable.

Autres avantages

OCSP présente d'autres avantages en termes de déploiement des clients et d'architecture réseau.

  • C'est le répondeur OCSP qui récupère les différents certificats constitutifs d'une chaîne de certificats et les CRL. Cela simplifie les communications, car le client ne dispose pas forcément de la connectivité nécessaire à leur récupération (filtrage par un pare-feu, ...).
  • Le répondeur OCSP valide la remontée du chemin de certification. Le client fait donc l'économie de cet autre traitement consommateur en ressources.
  • Grâce au chaînage des répondeurs OCSP, le client ne communique qu'avec un seul répondeur, digne de confiance. Cela épargne au client des communications plus complexes.

Exemple d'utilisation

  1. Alice et Bob sont des clients d'Ivan, l'autorité de certification (AC). Ils possèdent le certificat de clé publique d'Ivan.
  2. Alice et Bob possèdent chacun un certificat de clé publique émis par Ivan.
  3. Alice veut effectuer une transaction avec Bob. Elle lui envoie donc son certificat contenant sa clé publique.
  4. Bob veut s'assurer que le certificat d'Alice n'a pas été révoqué. Il crée une requête OCSP contenant l'empreinte du certificat d'Alice et l'envoie à Ivan.
  5. Le répondeur OCSP d'Ivan vérifie le statut du certificat d'Alice dans la base de données de la CA.
  6. Le répondeur OCSP confirme la validité du certificat d'Alice en envoyant une réponse OCSP positive signée à Bob.
  7. Bob vérifie la signature cryptographique de la réponse.
  8. Bob effectue sa transaction avec Alice.


Concept de fonctionnement

Ce schéma illustre comment la requête OCSP est formée et envoyée vers le serveur OCSP:

Ocsp-request.png

Ce schéma illustre comment la réponse OCSP est formée et envoyée vers le client OCSP: La réponse peut être: GOOD - REVOKED - UNKNOWN



Ocsp-responce.png

Liens externes

Alternatif à OCSP: le protocole SCVP

  • Portail de la cryptologie Portail de la cryptologie
  • Portail de la sécurité informatique Portail de la sécurité informatique
Ce document provient de « Protocole de v%C3%A9rification en ligne de certificat ».

Wikimedia Foundation. 2010.

Contenu soumis à la licence CC-BY-SA. Source : Article Protocole de vérification en ligne de certificat de Wikipédia en français (auteurs)

Игры ⚽ Нужна курсовая?

Regardez d'autres dictionnaires:

  • Protocole de verification en ligne de certificat — Protocole de vérification en ligne de certificat Le protocole de vérification en ligne de certificat OCSP (Online Certificate Status Protocol) est un protocole Internet utilisé pour valider un certificat numérique X.509. C est un standard… …   Wikipédia en Français

  • Certificat Numérique — Certificat électronique Pour les articles homonymes, voir Certification. Un certificat électronique est une carte d identité numérique dont l objet est d identifier une entité physique ou non physique. Le certificat numérique ou électronique est… …   Wikipédia en Français

  • Certificat electronique — Certificat électronique Pour les articles homonymes, voir Certification. Un certificat électronique est une carte d identité numérique dont l objet est d identifier une entité physique ou non physique. Le certificat numérique ou électronique est… …   Wikipédia en Français

  • Certificat numérique — Certificat électronique Pour les articles homonymes, voir Certification. Un certificat électronique est une carte d identité numérique dont l objet est d identifier une entité physique ou non physique. Le certificat numérique ou électronique est… …   Wikipédia en Français

  • Certificat Électronique — Pour les articles homonymes, voir Certification. Un certificat électronique est une carte d identité numérique dont l objet est d identifier une entité physique ou non physique. Le certificat numérique ou électronique est un lien entre l entité… …   Wikipédia en Français

  • Certificat électronique — Pour les articles homonymes, voir Certification. Un certificat électronique est une carte d identité numérique dont l objet est d identifier une entité physique ou non physique. Le certificat numérique ou électronique est un lien entre l entité… …   Wikipédia en Français

  • OCSP — Protocole de vérification en ligne de certificat Le protocole de vérification en ligne de certificat OCSP (Online Certificate Status Protocol) est un protocole Internet utilisé pour valider un certificat numérique X.509. C est un standard… …   Wikipédia en Français

  • Online certificate status protocol — Protocole de vérification en ligne de certificat Le protocole de vérification en ligne de certificat OCSP (Online Certificate Status Protocol) est un protocole Internet utilisé pour valider un certificat numérique X.509. C est un standard… …   Wikipédia en Français

  • Certificats Électroniques — Certificat électronique Pour les articles homonymes, voir Certification. Un certificat électronique est une carte d identité numérique dont l objet est d identifier une entité physique ou non physique. Le certificat numérique ou électronique est… …   Wikipédia en Français

  • Certificats électroniques — Certificat électronique Pour les articles homonymes, voir Certification. Un certificat électronique est une carte d identité numérique dont l objet est d identifier une entité physique ou non physique. Le certificat numérique ou électronique est… …   Wikipédia en Français

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”