Last updated on 9 août 2024

Quelles sont les meilleures pratiques pour mettre en œuvre la liste de révocation de certificats et l’OCSP de manière évolutive et sécurisée ?

Généré par l’IA et la communauté LinkedIn

Si vous utilisez une infrastructure à clé publique (ICP) Pour sécuriser vos communications et transactions, vous devez savoir comment révoquer les certificats compromis, expirés ou inutiles. Listes de révocation de certificats (LCR) et protocole d’état des certificats en ligne (Le) sont deux méthodes de vérification de la validité des certificats, mais elles présentent des avantages et des inconvénients différents. Dans cet article, nous expliquerons ce que sont les listes de révocation de certificats et les OCSP, comment ils fonctionnent et quelles sont les meilleures pratiques pour les mettre en œuvre de manière évolutive et sécurisée.

Des experts chevronnés contribuent à cet article

Sélectionnés par la communauté pour 15 contributions. En savoir plus

1 LCR : avantages et inconvénients

Les listes de révocation de certificats sont des fichiers qui contiennent une liste des numéros de série des certificats qui ont été révoqués par l’autorité de certification émettrice. (CA). Les listes de révocation de certificats sont signées par l’autorité de certification et publiées périodiquement sur un serveur Web ou un service d’annuaire. Les clients peuvent télécharger la liste de révocation de certificats et vérifier si un certificat figure sur la liste avant de l’accepter. Les CRL sont simples et largement prises en charge, mais elles présentent également certains inconvénients. Ils peuvent être volumineux et consommer de la bande passante et du stockage, ils peuvent être obsolètes et ne pas refléter les dernières révocations, et ils peuvent être falsifiés ou usurpés par des attaquants.

Ajoutez votre point de vue

Shubhakanta Ranasingh

Cyber Security & IT Infrastructure, || Program Management || IT Consulting, Outsourcing, Transformation & Delivery Excellence || Executive MBA (IIM,Bangalore) || PRINCE2 Practitioner
Signaler la contribution
Both methods have their Pros and Cons. But based on the usage scenario one method may be more suitable from the other. OCSP may be considered better option for browsers as the browsers deals with multiple websites and multiple CAs. So, fetching the complete CRL to check one website is inefficient. Hence OCSP will be a better choice here. On the other hand, CRL is better option for a server which gets multiple client requests. The certificate in the server is from a single CA. So CRL comparison is faster than OCSP as once the list is downloaded, the matching of serial number is done with a list which is existing on the disk. But in case of OCSP it has to fetch the details over a network from a different server for each request.

Texte traduit

J’aime
☁️ Luke McAlpine

Principal Cloud Consultant
Signaler la contribution
Pros: Universal Support: Standard in most certificate systems. Simple: If a certificate's on the list, it's revoked. Offline Use: No internet needed once downloaded. Cons: Size Issues: Growing list means more bandwidth and storage. Update Delays: Not real-time; can miss recent revocations. Security Risks: Potential for tampering and spoofing.

Texte traduit

J’aime
Israr Ahmed

PKI & Cryptography Professional | PKI Setup & Deployment | Digital Signature Specialist | TSP | eIDAS | HSM | Trust Services | Development services
Signaler la contribution
Implementing CRL (Certificate Revocation List) and OCSP (Online Certificate Status Protocol) securely and at scale involves several best practices. For CRLs, ensure frequent updates and distribute them via highly available and reliable servers, using CDN if necessary for global reach. Compress CRLs to minimize bandwidth usage. For OCSP, deploy multiple OCSP responders with load balancing to handle high traffic, and ensure they are geographically distributed to reduce latency. Implement strict security measures, including TLS, to protect the integrity and confidentiality of OCSP responses.

Texte traduit

J’aime
Israr Ahmed

PKI & Cryptography Professional | PKI Setup & Deployment | Digital Signature Specialist | TSP | eIDAS | HSM | Trust Services | Development services
Signaler la contribution
CRLs (Certificate Revocation Lists) offer simplicity and broad support for certificate revocation checking, but they come with notable drawbacks. While CRLs are straightforward to implement and use, they can become quite large, impacting bandwidth and storage. The periodic updates mean they may not always reflect the most recent revocations, potentially leading to outdated status information. Additionally, CRLs are susceptible to tampering or spoofing, posing a security risk. Despite these challenges, CRLs remain a common choice due to their ease of use and compatibility with many systems.

Texte traduit

J’aime

2 OCSP: avantages et inconvénients

OCSP est un protocole qui permet aux clients d’interroger l’autorité de certification ou un répondeur approuvé pour connaître l’état d’un certificat spécifique. Les demandes et les réponses OCSP sont plus petites et plus rapides que les listes de révocation de certificats, et elles peuvent fournir des informations en temps réel sur l’état de révocation d’un certificat. OCSP dispose également de certaines fonctionnalités de sécurité, telles que les valeurs nonce et les signatures numériques, pour empêcher les attaques de relecture et de falsification. Cependant, l’OCSP a également certaines limites. Il nécessite une connectivité réseau et la disponibilité de l’autorité de certification ou du répondeur, il peut introduire des risques de confidentialité en révélant les certificats que les clients vérifient, et il peut être vulnérable aux attaques par déni de service.

Ajoutez votre point de vue

Israr Ahmed

PKI & Cryptography Professional | PKI Setup & Deployment | Digital Signature Specialist | TSP | eIDAS | HSM | Trust Services | Development services
Signaler la contribution
OCSP (Online Certificate Status Protocol) offers real-time certificate status checks with smaller, faster requests compared to CRLs. Its security features, like nonce values and digital signatures, help prevent replay and forgery attacks. However, OCSP requires reliable network connectivity and access to the CA or responder, which can be a limitation if the network is down. Privacy concerns arise as it can reveal which certificates are being queried, and it can be vulnerable to denial-of-service attacks. Despite these issues, OCSP is valued for its efficiency and timely status updates.

Texte traduit

J’aime
Kablu Mandal

Senior Manager | Team Lead | Full Stack Engineer @Protean eGov | Ex-Acoustic | NSDL | NDML | Tata Interactive System. 12.6 Years of Expertise In Java Technology | Spring Framework | Spring Cloud | Microservices
Signaler la contribution
OCSP reduce latency in comparison to CRL based validation.since OCSP needs to check or query the status of single certificate so it typically provide faster response compared with CRL based validation, where a client application may need to download and parse larger set of lists.

Texte traduit

J’aime

3 Points de distribution de la liste de révocation de certificats

Une façon d’améliorer l’évolutivité et les performances des listes de révocation de certificats consiste à utiliser des points de distribution de listes de révocation de certificats (Les). Les CDP sont des URL qui sont incorporées dans les certificats et indiquent où les clients peuvent trouver les listes de révocation de certificats pour ces certificats. Les CDP peuvent pointer vers plusieurs emplacements, tels que des serveurs Web, des serveurs LDAP ou des partages de fichiers, pour assurer la redondance et l’équilibrage de charge. Les CDP peuvent également être configurés pour utiliser différentes étendues et fréquences pour différents types de certificats, tels que les certificats racine, intermédiaire ou d’entité finale, afin d’optimiser la taille de la liste de révocation de certificats et l’intervalle de mise à jour.

Ajoutez votre point de vue

☁️ Luke McAlpine

Principal Cloud Consultant
Signaler la contribution
Pros: Real-time Checks: Immediate certificate status verification. Lightweight: Only queries status of specific certificates, reducing bandwidth. Standardized: Widely adopted in modern systems. Cons: Privacy Concerns: OCSP requests can reveal user browsing habits to the CA. Reliability: If the OCSP server is down, certificate status can't be checked. Potential for MitM Attacks: Without proper security, responses can be intercepted or altered.

Texte traduit

J’aime

4 Agrafage OCSP

Une façon d’améliorer la sécurité et la confidentialité de l’OCSP est d’utiliser l’agrafage OCSP. L’agrafage OCSP est une technique qui permet au serveur d’obtenir une réponse OCSP de l’autorité de certification ou du répondeur à l’avance et de l’attacher au certificat pendant la négociation TLS. De cette façon, le client n’a pas besoin de contacter directement l’autorité de certification ou le répondeur, ce qui réduit la latence du réseau et l’exposition de l’utilisation du certificat du client. L’agrafage OCSP garantit également que la réponse OCSP est fraîche et valide, car elle est signée par l’autorité de certification ou le répondant et a une durée de vie limitée.

Ajoutez votre point de vue

☁️ Luke McAlpine

Principal Cloud Consultant
Signaler la contribution
Server-side Query: Instead of the client querying the OCSP responder directly, the server periodically queries the OCSP responder itself. "Staples" the Response: The server then "staples" the OCSP response to the initial TLS handshake when a client connects. This means the client gets the certificate and its revocation status in one go. Privacy: Since the client doesn't directly query the OCSP responder, its browsing habits (i.e., which servers it's connecting to) aren't exposed to the Certificate Authority (CA) or OCSP responder. Performance: It reduces the number of round trips required during the TLS handshake, as the client doesn't need to separately fetch the OCSP response.

Texte traduit

J’aime

5 Solutions hybrides

En fonction de vos besoins et de vos contraintes, vous pouvez utiliser une combinaison de listes de révocation de certificats et d’OCSP pour obtenir le meilleur équilibre entre évolutivité, sécurité et disponibilité. Par exemple, vous pouvez utiliser les listes de révocation de certificats comme option de secours lorsque le fichier OCSP n’est pas disponible ou n’est pas fiable, ou vous pouvez utiliser le fichier OCSP en complément des listes de révocation de certificats lorsque vous avez besoin d’informations de révocation plus opportunes. Vous pouvez également utiliser différentes méthodes pour différents rôles ou scénarios, telles que l’utilisation de listes de révocation de certificats pour les certificats internes et OCSP pour les certificats externes, ou l’utilisation de listes de révocation de certificats pour les certificats à faible risque et OCSP pour les certificats à haut risque.

Ajoutez votre point de vue

6 Meilleures pratiques

Quelle que soit la méthode que vous choisissez, il existe certaines meilleures pratiques générales auxquelles vous devez adhérer afin de mettre en œuvre les listes de révocation de certificats et les OCSP de manière sécurisée et évolutive. Il est important de planifier soigneusement vos politiques de gestion du cycle de vie et de révocation des certificats et de les documenter avec précision. L’utilisation des CDP et de l’agrafage OCSP peut améliorer l’efficacité et la fiabilité des CRL et des OCSP. De plus, il est essentiel de surveiller et d’auditer régulièrement vos CRL et vos serveurs et intervenants OCSP, en veillant à ce qu’ils soient mis à jour et synchronisés. De plus, il est essentiel de protéger vos réponses CRL et OCSP avec des signatures numériques et un chiffrement, en les vérifiant avant de les utiliser. En outre, vous devez implémenter des mécanismes de mise en cache et de prélecture pour réduire le trafic réseau et la latence des listes de révocation de certificats et OCSP. Enfin, vous devez tester la fonctionnalité et les performances de vos listes de révocation de certificats et OCSP dans différentes conditions et scénarios.

Ajoutez votre point de vue

7 Voici ce qu’il faut prendre en compte

Il s’agit d’un espace pour partager des exemples, des histoires ou des idées qui ne correspondent à aucune des sections précédentes. Que voudriez-vous ajouter d’autre?

Ajoutez votre point de vue

Shreyansh Mishra

Founder & Entrepreneur | Harvard-PAIR 2024 Delegate | Ex- Intern MKU Limited | PGDM - NADP | TEDx | Topmate.io Counsellor | Aerospace & Defence | Geopolitics | Animal Activist
Signaler la contribution
Implementing CRL and OCSP in a scalable and secure manner involves several best practices. For CRLs, regularly update them and use delta CRLs to reduce file size, implement caching mechanisms, distribute CRLs through multiple and geographically diverse locations, and ensure efficient revocation checking by applications. For OCSP, use OCSP stapling to reduce direct requests, deploy high availability and load-balanced OCSP responders, cache responses while maintaining freshness, secure OCSP communications, implement rate limiting and monitoring, and provide fallback mechanisms. General best practices include ensuring redundancy and fault tolerance, designing for scalability, protecting the infrastructure with security measures.

Texte traduit

J’aime

Infrastructure de clés publiques

+ Suivre

Notez cet article

Nous avons créé cet article à l’aide de l’intelligence artificielle. Qu’en pensez-vous ?

Il est très bien Ça pourrait être mieux

Signaler cet article

Tout voir

Quelles sont les meilleures pratiques pour mettre en œuvre la liste de révocation de certificats et l’OCSP de manière évolutive et sécurisée ?

1

2

3

4

5

6

7

1 LCR : avantages et inconvénients

2 OCSP: avantages et inconvénients

3 Points de distribution de la liste de révocation de certificats

4 Agrafage OCSP

5 Solutions hybrides

6 Meilleures pratiques

7 Voici ce qu’il faut prendre en compte

Infrastructure de clés publiques

Notez cet article

Nous vous remercions de votre feedback

Plus d’articles sur Infrastructure de clés publiques

Lecture plus pertinente