Surveillance de l’état du certificat avec OCSP

Le protocole OCSP (Online Certificate Status Protocol) est un protocole Internet utilisé pour déterminer l’état d’un certificat SSL client. Citrix Gateway prend en charge OCSP tel que défini dans la RFC 2560. L’OCSP offre des avantages significatifs par rapport aux listes de révocation de certificats (LCR) en termes d’information en temps opportun. Le statut de révocation à jour d’un certificat de client est particulièrement utile dans les transactions impliquant des sommes importantes et des transactions boursières de grande valeur. Il utilise également moins de ressources système et réseau. L’implémentation de Citrix Gateway d’OCSP inclut le traitement par lots de demandes et la mise en cache des réponses.

Implémentation de Citrix Gateway d’OCSP

La validation OCSP sur une appliance Citrix Gateway commence lorsque Citrix Gateway reçoit un certificat client lors d’une manipulation SSL. Pour valider le certificat, Citrix Gateway crée une demande OCSP et la transmet au répondeur OCSP. Pour ce faire, Citrix Gateway extrait l’URL du répondeur OCSP du certificat client ou utilise une URL configurée localement. La transaction est suspendue jusqu’à ce que Citrix Gateway évalue la réponse du serveur et détermine s’il faut autoriser la transaction ou la rejeter. Si la réponse du serveur est retardée au-delà de l’heure configurée et qu’aucun autre répondant n’est configuré, Citrix Gateway autorise la transaction ou affiche une erreur, selon que vous définissez la vérification OCSP sur facultatif ou obligatoire. Citrix Gateway prend en charge le traitement par lots de requêtes OCSP et la mise en cache des réponses OCSP afin de réduire la charge sur le répondeur OCSP et de fournir des réponses plus rapides.

Lote de demandes OCSP

Chaque fois que Citrix Gateway reçoit un certificat client, il envoie une demande au répondeur OCSP. Pour éviter de surcharger le répondeur OCSP, Citrix Gateway peut interroger l’état de plusieurs certificats client dans la même demande. Pour que le traitement par lots de demandes fonctionne efficacement, vous devez définir un délai d’expiration afin que le traitement d’un seul certificat ne soit pas retardé pendant l’attente de la formation d’un lot.

Mise en cache des réponses OCSP

La mise en cache des réponses reçues du répondeur OCSP permet des réponses plus rapides à l’utilisateur et réduit la charge sur le répondeur OCSP. À la réception de l’état de révocation d’un certificat client du répondeur OCSP, Citrix Gateway met en cache la réponse localement pendant une durée prédéfinie. Lorsqu’un certificat client est reçu lors d’une négociation SSL, Citrix Gateway vérifie d’abord son cache local pour trouver une entrée pour ce certificat. Si une entrée est trouvée qui est toujours valide (dans la limite de délai d’expiration du cache), l’entrée est évaluée et le certificat client est accepté ou rejeté. Si un certificat est introuvable, Citrix Gateway envoie une requête au répondeur OCSP et stocke la réponse dans son cache local pendant une durée configurée.