Étiquette : Numéro magique

forcer les contrôleurs de domaine (ou autres participants) à utiliser un répondeur en ligne (OCSP)

Par défaut, les systèmes Windows, même si un répondeur en ligne (OCSP) est configuré, sont envoyés à l'adresse suivante d'un certain nombre de requêtes OCSP de retomber sur une liste de blocage (si elle existe), car cela est généralement plus efficace dans un tel cas. Mais ce comportement n'est pas toujours souhaité.

Par exemple, si vous utilisez des inscriptions par carte à puce, vous voudrez peut-être savoir si des inscriptions ont été effectuées avec des certificats délivrés sans autorisation. En relation avec le déterministe Good du répondeur en ligne il est possible d'établir un rapport (presque) complet Chemin d'audit pour toutes les inscriptions par carte à puce.

Continuer la lecture de « Domänencontroller (oder andere Teilnehmer) zwingen, einen Onlineresponder (OCSP) zu verwenden »

Configurer le „Magic Number“ pour le répondeur en ligne

Même si un répondeur en ligne est présent sur le réseau et que les autorités de certification ont inscrit son adresse dans l'extension Authority Information Access (AIA) des certificats délivrés, il n'est pas toujours garanti que le répondeur en ligne soit effectivement utilisé.

Le „Magic Number“, présent sur chaque système d'exploitation Windows, est une variable d'ajustement. Il a pour effet que le système se replie sur les listes de blocage (si elles existent) si trop de demandes sont faites par OCSP pour la même autorité de certification.

Continuer la lecture de « Die „Magic Number“ für den Onlineresponder konfigurieren »

Configurer le "bon" déterministe pour le répondeur en ligne (OCSP)

Dans la configuration standard, le répondeur en ligne renvoie le statut „Good“ pour les certificats demandés qui n'apparaissent pas sur l'une des listes de révocation configurées.

Cela peut poser problème, car le répondeur en ligne n'a pas connaissance des certificats émis par les autorités de certification. Si un attaquant parvenait à émettre un certificat à l'aide de la clé privée de l'autorité de certification sans en avoir connaissance, cela ne serait pas détecté par le répondeur en ligne et ne serait pas non plus pris en compte dans le système. Protocole d'audit apparaissent comme „Good“.

Continuer la lecture de « Deterministisches „Good“ für den Onlineresponder (OCSP) konfigurieren »
fr_FRFrançais
de_DEDeutsch en_USEnglish fr_FRFrançais