OCSP Stapling - Configuration et Performances

Améliorez les performances et la confidentialité de vos connexions SSL.

OCSP (Online Certificate Status Protocol) permet aux navigateurs de vérifier si un certificat SSL a été révoqué. OCSP Stapling est une amélioration qui permet à votre serveur de fournir cette vérification directement, améliorant les performances et la confidentialité.

Sans stapling, le navigateur doit contacter l'autorité de certification pour chaque connexion, ce qui ajoute de la latence et révèle vos habitudes de navigation à la CA. Avec stapling, le serveur inclut la réponse OCSP dans le handshake SSL.

MoniTao surveille vos certificats et peut détecter les problèmes de configuration SSL, y compris les problèmes liés à OCSP.

Qu'est-ce que OCSP Stapling ?

Comprendre le fonctionnement d'OCSP Stapling :

  • VĂ©rification de rĂ©vocation : OCSP permet de vĂ©rifier si un certificat a Ă©tĂ© rĂ©voquĂ© sans tĂ©lĂ©charger toute la CRL (Certificate Revocation List).
  • Stapling : le serveur demande pĂ©riodiquement une rĂ©ponse OCSP Ă  la CA et la "staple" (agrafe) Ă  chaque handshake SSL.
  • RĂ©ponse signĂ©e : la rĂ©ponse OCSP est signĂ©e par la CA, le navigateur peut donc lui faire confiance mĂŞme si elle vient du serveur.
  • Cache : la rĂ©ponse OCSP est cachĂ©e par le serveur (gĂ©nĂ©ralement valide plusieurs jours), rĂ©duisant les requĂŞtes vers la CA.

Avantages d'OCSP Stapling

Pourquoi activer OCSP Stapling :

  • Performance : Ă©limine l'aller-retour du navigateur vers la CA, rĂ©duisant la latence du handshake SSL.
  • ConfidentialitĂ© : la CA ne voit plus quels sites visitent vos utilisateurs, amĂ©liorant leur vie privĂ©e.
  • FiabilitĂ© : si le serveur OCSP de la CA est down, vos visiteurs ne sont pas impactĂ©s (le serveur utilise sa rĂ©ponse cachĂ©e).
  • Meilleur score SSL : SSL Labs valorise l'OCSP Stapling dans son scoring, contribuant Ă  un meilleur grade.

Configuration d'OCSP Stapling

Comment activer OCSP Stapling sur votre serveur :

  1. Vérifiez la compatibilité : assurez-vous que votre serveur (Nginx 1.3.7+, Apache 2.3.3+) supporte OCSP Stapling.
  2. Configurez le certificat : vous devez avoir le certificat complet avec la chaîne intermédiaire.
  3. Activez dans la configuration : ajoutez les directives OCSP Stapling Ă  votre configuration serveur.
  4. Testez : vérifiez que le stapling fonctionne avec openssl ou SSL Labs.

Configuration OCSP Stapling

Exemples pour Nginx et Apache :

# Nginx - OCSP Stapling
ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate /path/to/fullchain.pem;
resolver 8.8.8.8 8.8.4.4 valid=300s;
resolver_timeout 5s;

# Apache - OCSP Stapling
SSLUseStapling On
SSLStaplingCache "shmcb:logs/ssl_stapling(32768)"
SSLStaplingResponderTimeout 5
SSLStaplingReturnResponderErrors Off

# Tester OCSP Stapling
openssl s_client -connect votresite.com:443 -status 2>/dev/null | grep -A 17 "OCSP response"

Après activation, vérifiez avec la commande openssl que la réponse OCSP est bien incluse dans le handshake.

Bonnes Pratiques

Conseils pour OCSP Stapling :

  • Utilisez la chaĂ®ne complète : le fichier trusted_certificate doit contenir les certificats intermĂ©diaires pour que la vĂ©rification fonctionne.
  • Configurez un resolver : Nginx a besoin d'un resolver DNS pour contacter le serveur OCSP de la CA.
  • Surveillez les erreurs : vĂ©rifiez les logs pour dĂ©tecter les Ă©checs de rĂ©cupĂ©ration OCSP qui pourraient indiquer un problème.
  • Testez rĂ©gulièrement : utilisez SSL Labs ou testssl.sh pour vĂ©rifier que le stapling reste actif après des changements de configuration.

Checklist OCSP Stapling

  • Serveur compatible (Nginx 1.3.7+, Apache 2.3.3+)
  • ChaĂ®ne de certificats complète configurĂ©e
  • Resolver DNS configurĂ© (Nginx)
  • Stapling activĂ© dans la configuration
  • Test openssl montre OCSP Response
  • SSL Labs confirme "OCSP Stapling: Yes"

Questions Fréquentes

OCSP Stapling est-il obligatoire ?

Non, mais c'est une bonne pratique pour la performance et la confidentialité. La plupart des configurations SSL modernes l'incluent.

Que se passe-t-il si la CA ne répond pas ?

Le serveur utilise sa réponse OCSP en cache tant qu'elle est valide. Si le cache expire, le stapling devient temporairement indisponible.

Let's Encrypt supporte-t-il OCSP Stapling ?

Oui, Let's Encrypt fournit des réponses OCSP et le stapling fonctionne normalement avec leurs certificats.

OCSP Stapling impacte-t-il les performances du serveur ?

L'impact est négligeable. Le serveur fait une requête OCSP toutes les quelques heures, pas à chaque connexion client.

Comment savoir si le stapling est actif sur un site ?

Utilisez SSL Labs (ssllabs.com/ssltest) ou la commande openssl s_client -connect site.com:443 -status.

MoniTao vérifie-t-il OCSP Stapling ?

MoniTao surveille la validité de vos certificats SSL. Pour vérifier spécifiquement OCSP Stapling, utilisez SSL Labs.

Optimisez Vos Connexions SSL

OCSP Stapling est une optimisation simple qui améliore les performances et la confidentialité de vos connexions SSL. Son activation ne prend que quelques minutes.

Combinez OCSP Stapling avec MoniTao pour une configuration SSL optimale : performances maximales et surveillance proactive de vos certificats.

Liens utiles

PrĂŞt Ă  dormir sur vos deux oreilles ?

Commencez gratuitement, sans carte bancaire.

Créer mon compte Voir les tarifs