Surveillance de l’état des certificats avec OCSP
Le protocole OCSP (Online Certificate Status Protocol) est un protocole Internet utilisé pour déterminer l’état d’un certificat SSL client. Citrix Gateway prend en charge OCSP tel que défini dans la RFC 2560. OCSP offre des avantages significatifs par rapport aux listes de révocation de certificats (CRL) en termes d’informations en temps opportun. Le statut de révocation à jour d’un certificat client est particulièrement utile dans les transactions impliquant des sommes d’argent importantes et des transactions boursières de grande valeur. Il utilise également moins de ressources système et réseau. La mise en œuvre d’OCSP par Citrix Gateway inclut la mise en cache des demandes et des réponses.
Mise en œuvre d’OCSP par Citrix Gateway
La validation OCSP sur une appliance Citrix Gateway commence lorsque Citrix Gateway reçoit un certificat client lors d’une liaison SSL. Pour valider le certificat, Citrix Gateway crée une demande OCSP et la transmet au répondeur OCSP. Pour ce faire, Citrix Gateway extrait l’URL du répondeur OCSP du certificat client ou utilise une URL configurée localement. La transaction est suspendue jusqu’à ce que Citrix Gateway évalue la réponse du serveur et détermine s’il faut autoriser la transaction ou la rejeter. Si la réponse du serveur est retardée au-delà de l’heure configurée et qu’aucun autre répondeur n’est configuré, Citrix Gateway autorise la transaction ou affiche une erreur, selon que vous avez défini la vérification OCSP sur facultative ou obligatoire. Citrix Gateway prend en charge le traitement par lots des demandes OCSP et la mise en cache des réponses OCSP afin de réduire la charge sur le répondeur OCSP et de fournir des réponses plus rapides.
Traitement par lots des demandes OCSP
Chaque fois que Citrix Gateway reçoit un certificat client, il envoie une demande au répondeur OCSP. Pour éviter de surcharger le répondeur OCSP, Citrix Gateway peut interroger l’état de plusieurs certificats clients dans la même demande. Pour que le traitement par lots de demandes fonctionne efficacement, vous devez définir un délai d’expiration afin que le traitement d’un seul certificat ne soit pas retardé pendant l’attente de la formation d’un lot.
Mise en cache des réponses OCSP
La mise en cache des réponses reçues du répondeur OCSP permet de répondre plus rapidement à l’utilisateur et de réduire la charge sur le répondeur OCSP. Lors de la réception de l’état de révocation d’un certificat client de la part du répondeur OCSP, Citrix Gateway met en cache la réponse localement pendant une durée prédéfinie. Lorsqu’un certificat client est reçu au cours d’une connexion SSL, Citrix Gateway vérifie d’abord son cache local à la recherche d’une entrée pour ce certificat. Si une entrée est toujours valide (dans la limite du délai d’expiration du cache), elle est évaluée et le certificat client est accepté ou rejeté. Si aucun certificat n’est trouvé, Citrix Gateway envoie une demande au répondeur OCSP et stocke la réponse dans son cache local pendant une durée configurée.