Autre fignolages:
- Améliorer le temps de chargement avec certains navigateurs, en activant OCSP Stapling
Ce n'est pas seulement un enjeu de rapidité, c'est bien plus important.
Le protocole OCSP (Online Certificate Status Protocol) pose problème en soi. Pas dans les détails du protocole, c'est le principe même de la vérification dynamique de statut de certificat qui n'est pas tellement bon.
C -> S : est-ce que le certificat n° XXXX est révoqué?
S -> C : oui/non/sans opinion/j'ai piscine/(pas de réponse)
Tu vois
tous les problèmes que ça pose?
Déjà, beaucoup de gens pensent que ça permet de bloquer les certificats produits suite à une compromission d'une autorité. Wishful thinking! Quand les mécanismes de sécurité qui protège la machine qui détient la clé privée de certification sont contournés, si la clé privée est copiée c'est game over!
On ne pourra pas lister les certificats à révoquer. En aucun cas un mécanisme de révocation des certificats clients ne pourra aider. Il faudra révoquer le certificat de l'autorité et donc faire tomber TOUS les sites qui en dépendent.
Cela n'irait pas sans protestations! On peut déjà imaginer toutes le protestations, les menaces de procès, etc. Il faut absolument protéger le protocole contre les menaces juridiques. On pourrait imaginer différents moyens : la Loi ou les contrats.
Et en fait ce n'est PAS conçu pour ce cas là. Le principe de la révocation de certificats est conçu pour le cas où des certificats ont été délivrés par erreur mais sous le contrôle de l'autorité qui sait exactement quels certificats doivent être annulés. Cela sert aussi si l'enregistrement d'un nom de domaine est révoqué, transféré, expiré, etc.
Il faut voir que la plupart des révocations ne sont pas liées à des fraudes;
l'immense majorité des révocations est le fait d'une simple expiration d'un enregistrement.