Surveillance de l’état des certificats avec OCSP

Le protocole OCSP (Online Certificate Status Protocol) est un protocole Internet qui est utilisé pour déterminer l’état d’un certificat SSL client. Citrix Gateway prend en charge OCSP tel que défini dans la RFC 2560. L’OCSP offre des avantages importants par rapport aux listes de révocation de certificats (CRL) en termes d’information opportune. Le statut actuel de révocation d’un certificat de client est particulièrement utile dans les transactions impliquant des sommes importantes et des opérations boursières de grande valeur. Il utilise également moins de ressources système et réseau. L’implémentation de Citrix Gateway d’OCSP inclut le traitement par lots de requêtes et la mise en cache des réponses.

Implémentation de Citrix Gateway d’OCSP

La validation OCSP sur une appliance Citrix Gateway commence lorsque Citrix Gateway reçoit un certificat client lors d’une liaison SSL. Pour valider le certificat, Citrix Gateway crée une requête OCSP et la transmet au répondeur OCSP. Pour ce faire, Citrix Gateway extrait l’URL du répondeur OCSP du certificat client ou utilise une URL configurée localement. La transaction est dans un état suspendu jusqu’à ce que Citrix Gateway évalue la réponse du serveur et détermine s’il faut autoriser la transaction ou la rejeter. Si la réponse du serveur est retardée au-delà de l’heure configurée et qu’aucun autre répondeur n’est configuré, Citrix Gateway autorise la transaction ou affiche une erreur, selon que vous définissez la vérification OCSP sur facultative ou obligatoire. Citrix Gateway prend en charge le traitement par lots de requêtes OCSP et la mise en cache des réponses OCSP afin de réduire la charge sur le répondeur OCSP et de fournir des réponses plus rapides.

Lots de demandes OCSP

Chaque fois que Citrix Gateway reçoit un certificat client, il envoie une demande au répondeur OCSP. Pour éviter de surcharger le répondeur OCSP, Citrix Gateway peut interroger l’état de plusieurs certificats client dans la même requête. Pour que le traitement par lots de demandes fonctionne efficacement, vous devez définir un délai d’attente afin que le traitement d’un seul certificat ne soit pas retardé en attendant de former un lot.

Mise en cache de réponse OCSP

La mise en cache des réponses reçues du répondeur OCSP permet des réponses plus rapides à l’utilisateur et réduit la charge sur le répondeur OCSP. Dès réception de l’état de révocation d’un certificat client du répondeur OCSP, Citrix Gateway met en cache la réponse localement pendant une durée prédéfinie. Lorsqu’un certificat client est reçu lors d’une connexion SSL, Citrix Gateway vérifie d’abord dans son cache local une entrée pour ce certificat. Si une entrée est toujours valide (dans la limite du délai d’expiration du cache), l’entrée est évaluée et le certificat client est accepté ou rejeté. Si aucun certificat n’est trouvé, Citrix Gateway envoie une demande au répondeur OCSP et stocke la réponse dans son cache local pendant une durée configurée.