Agrafage OCSP
OCSP est un protocole Internet permettant de vérifier la validité d'un certificat numérique TLS en temps-réel auprès de l'autorité ayant émis le certificat. L’agrafage OCSP (en anglais : OCSP Stapling), dont le nom technique est Extension de requête d'état de certificat TLS (TLS Certificate Status Request Extension)[1], est une approche alternative au protocole OCSP permettant de vérifier l'état de révocation d'un certificat numérique X.509. Il permet au possesseur d'un certificat de supporter le coût de vérification de ce dernier en fournissant une réponse OCSP horodatée et signée par l’Autorité de certification (CA), attachée (agrafée) à l’échange initial TLS, permettant d'économiser au client TLS la vérification auprès de la CA[2],[3].
Motivation
L'agrafage OCSP tente de répondre aux problèmes posés par le protocole OCSP original[2]. OCSP pose un problème de charge importante imposée aux autorités de certification, car ils doivent répondre à chaque client d'une autorité de certification en temps réel. Si le certificat est émis pour un site à fort trafic, les serveurs de la CA vont recevoir un volume énorme de requêtes OCSP demandant de confirmer la validité du certificat.
La vérification par OCSP peut aussi porter atteinte à la rapidité et la confidentialité de la navigation d'un utilisateur, puisqu'elle requiert que le navigateur contacte une tierce partie (la CA) pour confirmer la validité de chaque certificat rencontré[4]. Enfin, si le client n'arrive pas à se connecter à la CA pour la validation OCSP, il doit choisir entre 2 options dont aucune n'est souhaitable. Le client peut soit choisir de continuer à se connecter, rendant OCSP inutile, soit choisir d'interrompre la connexion, pensant avoir affaire à une attaque, mais cela réduit l'utilisabilité et pourrait avoir pour conséquence de nombreux blocages dus à des faux positifs[5].
Solution
L'agrafage OCSP résout ces problèmes avec une méthode proche des Tickets Kerberos. Le propriétaire du certificat interroge lui-même le serveur OCSP à intervalles réguliers, obtenant une réponse OCSP représentant un horodatage signé numériquement. Lorsque le visiteur du site tente de se connecter à celui-ci, cette réponse OCSP est incluse (d'où le terme "agrafage") dans la réponse TLS (si le client supporte cette extension à TLS, nommée Certificate Status Request, et le signale dans sa requête ClientHello[6]). Cela peut paraître étrange que le serveur fournisse lui-même la preuve de la validité de son certificat, mais cette preuve OCSP devant être signée et horodatée par l'autorité de certification, le serveur ne peut pas fournir de réponse frauduleuse. Si le client ne reçoit pas la réponse OCSP du serveur, il pourra la vérifier lui-même. Cependant, si le client reçoit du serveur une réponse OCSP invalide, il pourra interrompre immédiatement la connexion[1]. Le seul risque de l'agrafage OCSP est que la notification de révocation d'un certificat pourrait être retardée jusqu'à la date d'expiration de la dernière réponse OCSP.
La conséquence de l'agrafage OCSP est que le client peut avoir l'assurance, émise par l'autorité de certification, que le certificat présenté par le serveur est valide (ou l'était il y a peu), mais n'a plus besoin de vérifier le serveur OCSP lui-même. La surcharge d'activité réseau est donc déplacée sur le propriétaire du certificat, qui peut se contenter de vérifier l'état auprès de l'autorité moins fréquemment. Cela signifie aussi que le client ne révèle plus ses habitudes de navigation à une tierce partie[4].
La vitesse d'accès aux sites est améliorée aussi grâce à l'agrafage OCSP : lorsque le client obtient la réponse OCSP directement depuis l'autorité, cela implique de résoudre l'adresse de l'autorité dans le DNS, et d'établir une connexion supplémentaire vers celle-ci avant de terminer la connexion avec le serveur. Lorsque l'agrafage OCSP est utilisé, l'état à jour du certificat du serveur est fourni au client avant l'établissement du canal chiffré, réduisant la surcharge réseau et augmentant la rapidité d'accès aux ressources[3].
Spécifications techniques
L'extension TLS Certificate Status Request est spécifiée dans la RFC 6066[7], section 8.
La RFC 6961[8] ajoute une extension Multiple Certificate Status Request, qui permet au serveur d'envoyer plusieurs réponses OCSP dans la même poignée de main TLS.
Un brouillon proposé en tant que champ additionnel à X509v3, expirant en , spécifie qu'un serveur présentant un certificat contenant cette extension doit retourner une réponse OCSP valide dans sa réponse si l'extension status_request est demandée par le client[9] La version actuelle de cette proposition a été étendue pour gérer d'autres extensions à TLS[10]. Adam Langley, un des développeurs de TLS, discutait de cette extension en à la suite d'un article sur comment réparer le bug Heartbleed d'OpenSSL[11].
Déploiement
L'agrafage OCSP a été mis en œuvre progressivement. Le projet OpenSSL gère l'agrafage depuis sa version 0.9.8g grâce au soutien de la Fondation Mozilla.
Le serveur Apache gère l'agrafage OCSP depuis sa version 2.3.3[12], le serveur nginx depuis sa version 1.3.7[13] LiteSpeed Web Server depuis la 4.2.4[14], Microsoft IIS depuis Windows Server 2008[15], HAProxy depuis la 1.5.0[16], et les machines F5 Networks BIG-IP depuis la version 11.6.0[17].
Du côté des navigateurs web, L'agrafage OCSP a été mis en œuvre dans la version 26 de Firefox[5], dans Internet Explorer depuis Windows Vista, dans Google Chrome sous Linux et Chrome OS[18].
Le serveur SMTP Exim gère l'agrafage OCSP en mode client et serveur[19].
Limites
L'agrafage OCSP était conçu pour réduire le coût de la validation OCSP (à la fois pour le client et le serveur OCSP de la CA) particulièrement pour les sites importants servant de nombreux utilisateurs. Cependant, l'agrafage OCSP ne sait gérer qu'une réponse OCSP à la fois, ce qui est insuffisant pour les certificats chaînés comprenant une autorité intermédiaire[20],[21].
Cette limite a été résolue par l'extension Multiple Certificate Status Request, spécifiée dans la RFC 6961[8], qui ajoute le support de réponses OCSP multiples[22].
Cette technique est, à l'image des listes de révocation de certificat, susceptible de tracer les actions de l'utilisateur.[réf. nécessaire]
Notes et références
- (en) Eastlake, D., « Transport Layer Security (TLS) Extensions: Extension Definitions: Certificate Status Request », Internet Engineering Task Force (IETF), (consulté le ).
- (en) Gibson, Steve, « Security Certificate Revocation Awareness: The case for “OCSP Must-Staple” », Gibson Research Corporation (consulté le ).
- (en) Prince, Matthew, « OCSP Stapling: How CloudFlare Just Made SSL 30% Faster », CloudFlare, Inc., (consulté le ).
- (en) Benjamin Sonntag, « Accélérer votre réponse SSL/TLS avec l’OCSP Stapling », Octopuce SARL,
- (en) Keeler, David, « OCSP Stapling in Firefox », Mozilla Security Blog, Mozilla Foundation, (consulté le )
- (en) « OCSP Stapling », GlobalSign Support, GMO GlobalSign Inc., (consulté le )
- (en) Request for comments no 6066.
- (en) Request for comments no 6961.
- P. Hallam-Baker, X.509v3 Extension: OCSP Stapling Required
- P. Hallam-Baker X.509v3 TLS Feature Extension draft-hallambaker-tlsfeature-05
- A. Langley, No, don't enable revocation checking, April 19, 2014.
- Apache HTTP Server mod_ssl documentation - SSLUseStapling directive
- nginx-announce mailing list - nginx-1.3.7
- Release Log - Litespeed Tech. Retrieved 2014-02-07,
- (en) Robert Duncan, « Microsoft Achieves World Domination (in OCSP Stapling) », Netcraft Ltd (consulté le )
- HAProxy website
- Release Note: BIG-IP LTM and TMOS 11.6.0
- (en) « Issue 361820: Check For Server Certificate Revocation checkbox is confusing », Google Code, Google,
- The smtp transport, retrieved 2015-01-24
- Mozilla NSS Bug 360420, Comment by Adam Langley
- Mozilla NSS Bug 611836 - Implement multiple OCSP stapling extension
- (en) Pettersen, Yngve N., « The Transport Layer Security (TLS) Multiple Certificate Status Request Extension », Internet Engineering Task Force, (consulté le )
- Portail de la cryptologie
- Portail de la sécurité informatique