Même si un répondeur en ligne est présent sur le réseau et que les autorités de certification ont inscrit son adresse dans l'extension Authority Information Access (AIA) des certificats délivrés, il n'est pas toujours garanti que le répondeur en ligne soit effectivement utilisé.
Le „Magic Number“, présent sur chaque système d'exploitation Windows, est une variable d'ajustement. Il a pour effet que le système se replie sur les listes de blocage (si elles existent) si trop de demandes sont faites par OCSP pour la même autorité de certification.
Le Online Responder (Online Certificate Status Protocol, OCSP) est une autre manière de fournir des informations sur le statut de révocation des certificats. Grâce à l'OCSP, les entités qui souhaitent vérifier le statut de révocation d'un certificat ne doivent pas télécharger la liste complète de tous les certificats révoqués, mais peuvent adresser une demande ciblée au répondeur en ligne pour le certificat concerné. Pour une description plus détaillée, voir l'article "Principes de base du répondeur en ligne (Online Certificate Status Protocol, OCSP)„ .
L'idée est que si le nombre de demandes OCSP pour les certificats de la même autorité de certification augmente, il est souvent plus efficace de télécharger une fois la liste de révocation des certificats et de l'utiliser localement.
Un exemple courant est le contrôleur de domaine qui traite les inscriptions par carte à puce des utilisateurs. Ici, un ou quelques serveurs vérifient l'état de révocation de très nombreux certificats provenant de la même autorité de certification.
Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.
Adapter la valeur par défaut
La valeur par défaut du „Magic Number“ est configurée à 50 requêtes et peut être adaptée par des stratégies de groupe.
Le réglage se trouve sous „Computer Configuration“ - „Windows Settings“ - „Security Settings“ - „Public Key policies“ - „Certificate Path Validation Settings“.
Dans l'onglet „Révocation“, l'option „Prefer CRL over OCSP responses if number of cached OCSP responses corresponding to the same CRL distribution point is greater than“ peut désormais être configurée.
La valeur la plus élevée qui peut être inscrite est : 2147483647.
Lorsque cette stratégie de groupe est appliquée, une valeur de registre appelée „CryptnetCachedOcspSwitchToCrlCount“ est créée dans la clé de registre suivante :
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCertificates\ChainEngine\Config
Liens complémentaires :
Sources externes
- Optimiser l'expérience de la révocation / Définir le comportement par défaut (Microsoft)
- OCSP Numéro magique (PKI Solutions, Inc.)
Français 
Deutsch 
English
Les commentaires sont fermés.