Récemment, Let’s Encrypt a annoncé leur intention d’arrêter prochainement leur service OCSP, et cette annonce a été partagée sous la forme d’un lien sur LinuxFr.
Cette annonce mérite démystifications, explications et est l’occasion de parler un peu de ces concepts, en particulier pour celles et ceux qui ne seraient pas familiers avec OCSP ou même comment toute cette infrastructure de confiance fonctionne. Je l’avais un peu fait dans un commentaire complètement buggué, et on m’a suggéré d’en (…)
L'OCSP Stapling permet aux client de vérifier la validité du certificat sans faire de requête auprès de l'autorité de certification. Letsencrypt eux-mêmes recommendent de l'activer pour des questions de performances, respect de la vie privée et aussi parce que ça leur coûte moins cher :-)
Avec nginx c'est assez simple à activer, il faut:
ssl_certificate /etc/letsencrypt/live/.../fullchain.pem; # managed by Certbot
ssl_certificate_key /etc/letsencrypt/live/.../privkey.pem; # managed by Certbot
# ajouter
Bonjour,
comme certains l'auront probablement remarqué, les serveurs OCSP de StartCom rencontrent des difficultés ce week end, bloquant ainsi l'accès à de nombreux services.
Pour rappel l'OCSP est un protocole permettant aux clients TLS de vérifier la révocation d'un certificat ; tandis que StartCom est l'éditeur du service StartSSL, un des rares fournisseurs de certificats gratuits et reconnus par la majorité des navigateurs.
Malheureusement ce n'est pas la première fois que leurs serveurs OCSP sont en rade, et pour ma (…)