Configuration du certificat de serveur pour l'agrafage OCSP - AWS IoT Core

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration du certificat de serveur pour l'agrafage OCSP

AWS IoT Core prend en charge l'agrafage OCSP (Online Certificate Status Protocol) pour les certificats de serveur, également appelé agrafage OCSP ou agrafage OCSP de certificats de serveur. Il s'agit d'un mécanisme de sécurité utilisé pour vérifier l'état de révocation du certificat de serveur lors d'une poignée de contact TLS (Transport Layer Security). L'agrafage OCSP vous AWS IoT Core permet d'ajouter une couche de vérification supplémentaire à la validité du certificat de serveur de votre domaine personnalisé.

Vous pouvez activer l'agrafage OCSP du certificat de serveur AWS IoT Core pour vérifier la validité du certificat en interrogeant régulièrement le répondeur OCSP. Le paramètre d'agrafage OCSP fait partie du processus de création ou de mise à jour d'une configuration de domaine avec un domaine personnalisé. L'agrafage OCSP vérifie en permanence l'état de révocation du certificat du serveur. Cela permet de vérifier que les certificats révoqués par l'autorité de certification ne sont plus approuvés par les clients qui se connectent à vos domaines personnalisés. Pour plus d’informations, consultez Activation de l'agrafage OCSP des certificats de serveur AWS IoT Core.

L'agrafage OCSP des certificats de serveur permet de vérifier l'état de révocation en temps réel, de réduire la latence associée à la vérification de l'état de révocation et d'améliorer la confidentialité et la fiabilité des connexions sécurisées. Pour plus d'informations sur les avantages de l'agrafage OCSP, consultez. Avantages de l'agrafage OCSP par rapport aux contrôles OCSP côté client

Note

Cette fonctionnalité n'est pas disponible AWS GovCloud (US) Regions.

Qu'est-ce que l'OCSP ?

Concepts clés

Les concepts suivants fournissent des détails sur l'OCSP et les concepts associés.

OCSP

L'OCSP est utilisé pour vérifier l'état de révocation du certificat lors de la prise de contact TLS (Transport Layer Security). L'OCSP permet la validation en temps réel des certificats. Cela confirme que le certificat n'a pas été révoqué ou n'a pas expiré depuis son émission. L'OCSP est également plus évolutif que les listes de révocation de certificats (CRL) traditionnelles. Les réponses OCSP sont plus petites et peuvent être générées efficacement, ce qui les rend plus adaptées aux infrastructures à clé privée (PKI) à grande échelle.

Répondeur OCSP

Un répondeur OCSP (également appelé serveur OCSP) reçoit et répond aux demandes OCSP des clients qui cherchent à vérifier l'état de révocation des certificats.

OCSP côté client

Dans l'OCSP côté client, le client utilise l'OCSP pour contacter un répondeur OCSP afin de vérifier l'état de révocation du certificat lors de la poignée de main TLS (Transport Layer Security).

OCSP côté serveur

Dans l'OCSP côté serveur (également connu sous le nom d'agrafage OCSP), le serveur est activé (plutôt que le client) pour envoyer la demande au répondeur OCSP. Le serveur agrafe la réponse OCSP au certificat et la renvoie au client lors de la prise de contact TLS.

Diagrammes OCSP

Le schéma suivant illustre le fonctionnement de l'OCSP côté client et de l'OCSP côté serveur.

Schémas OCSP côté client et côté serveur
OCSP côté client
  1. Le client envoie un ClientHello message pour initier la prise de contact TLS avec le serveur.

  2. Le serveur reçoit le message et y répond par un ServerHello message. Le serveur envoie également le certificat du serveur au client.

  3. Le client valide le certificat du serveur et en extrait un URI OCSP.

  4. Le client envoie une demande de vérification de révocation de certificat au répondeur OCSP.

  5. Le répondeur OCSP envoie une réponse OCSP.

  6. Le client valide le statut du certificat à partir de la réponse OCSP.

  7. La poignée de main TLS est terminée.

OCSP côté serveur
  1. Le client envoie un ClientHello message pour initier la prise de contact TLS avec le serveur.

  2. Le serveur reçoit le message et obtient la dernière réponse OCSP mise en cache. Si la réponse mise en cache est manquante ou a expiré, le serveur appellera le répondeur OCSP pour connaître l'état du certificat.

  3. Le répondeur OCSP envoie une réponse OCSP au serveur.

  4. Le serveur envoie un ServerHello message. Le serveur envoie également le certificat du serveur et le statut du certificat au client.

  5. Le client valide le statut du certificat OCSP.

  6. La poignée de main TLS est terminée.

Comment fonctionne l'agrafage OCSP

L'agrafage OCSP est utilisé lors de la prise de contact TLS (Transport Layer Security) entre le client et le serveur pour vérifier l'état de révocation du certificat du serveur. Le serveur envoie la demande OCSP au répondeur OCSP et agrafe les réponses OCSP aux certificats renvoyés au client. En demandant au serveur d'envoyer la demande au répondeur OCSP, les réponses peuvent être mises en cache puis utilisées plusieurs fois pour de nombreux clients.

Comment fonctionne l'agrafage OCSP dans AWS IoT Core

Le schéma suivant montre le fonctionnement de l'agrafage OCSP côté serveur. AWS IoT Core

Ce schéma montre le fonctionnement de l'agrafage OCSP côté serveur. AWS IoT Core
  1. L'appareil doit être enregistré avec des domaines personnalisés avec l'agrafage OCSP activé.

  2. AWS IoT Core appelle le répondeur OCSP toutes les heures pour connaître l'état du certificat.

  3. Le répondeur OCSP reçoit la demande, envoie la dernière réponse OCSP et stocke la réponse OCSP mise en cache.

  4. L'appareil envoie un ClientHello message pour initier la prise de contact TLS avec. AWS IoT Core

  5. AWS IoT Core obtient la dernière réponse OCSP du cache du serveur, qui répond par une réponse OCSP du certificat.

  6. Le serveur envoie un ServerHello message à l'appareil. Le serveur envoie également le certificat du serveur et le statut du certificat au client.

  7. L'appareil valide le statut du certificat OCSP.

  8. La poignée de main TLS est terminée.

Avantages de l'agrafage OCSP par rapport aux contrôles OCSP côté client

Quelques avantages de l'agrafage OCSP de certificats de serveur sont résumés comme suit :

Confidentialité améliorée

Sans agrafage OCSP, l'appareil du client peut exposer des informations à des répondeurs OCSP tiers, ce qui peut compromettre la confidentialité des utilisateurs. L'agrafage OCSP atténue ce problème en permettant au serveur d'obtenir la réponse OCSP et de la transmettre directement au client.

Fiabilité améliorée

L'agrafage OCSP peut améliorer la fiabilité des connexions sécurisées car il réduit le risque de panne des serveurs OCSP. Lorsque les réponses OCSP sont agrafées, le serveur inclut la réponse la plus récente avec le certificat. Cela permet aux clients d'accéder à l'état de révocation même si le répondeur OCSP est temporairement indisponible. L'agrafage OCSP permet d'atténuer ces problèmes car le serveur récupère régulièrement les réponses OCSP et inclut les réponses mises en cache dans le handshake TLS, réduisant ainsi le recours à la disponibilité en temps réel des répondeurs OCSP.

Charge de serveur réduite

L'agrafage OCSP décharge le serveur de la charge de répondre aux demandes OCSP des répondeurs OCSP. Cela permet de répartir la charge de manière plus uniforme, ce qui rend le processus de validation des certificats plus efficace et évolutif.

Latence réduite

L'agrafage OCSP réduit la latence associée à la vérification de l'état de révocation d'un certificat lors de la prise de contact TLS. Au lieu que le client doive interroger un serveur OCSP séparément, le serveur envoie la demande et joint la réponse OCSP au certificat du serveur lors de la prise de contact.

Activation de l'agrafage OCSP des certificats de serveur AWS IoT Core

Pour activer l'agrafage OCSP des certificats de serveur AWS IoT Core, vous devez créer une configuration de domaine pour un domaine personnalisé ou mettre à jour une configuration de domaine personnalisée existante. Pour obtenir des informations générales sur la création d'une configuration de domaine avec un domaine personnalisé, consultezCréation et configuration de domaines personnalisés.

Suivez les instructions suivantes pour activer l'agrafage du serveur OCSP à l'aide de ou. AWS Management Console AWS CLI

Pour activer l'agrafage OCSP des certificats de serveur à l'aide de la console : AWS IoT
  1. Choisissez Paramètres dans le menu de navigation de gauche, puis choisissez Créer une configuration de domaine ou une configuration de domaine existante pour un domaine personnalisé.

  2. Si vous choisissez de créer une nouvelle configuration de domaine à l'étape précédente, vous verrez la page Créer une configuration de domaine. Dans la section Propriétés de configuration du domaine, sélectionnez Domaine personnalisé. Entrez les informations pour créer une configuration de domaine.

    Si vous choisissez de mettre à jour une configuration de domaine existante pour un domaine personnalisé, vous verrez la page des détails de configuration du domaine. Choisissez Modifier.

  3. Pour activer l'agrafage du serveur OCSP, choisissez Activer l'agrafage du certificat du serveur OCSP dans la sous-section Configurations des certificats du serveur.

  4. Choisissez Créer une configuration de domaine ou Mettre à jour la configuration de domaine.

Pour activer l'agrafage OCSP des certificats de serveur à l'aide de : AWS CLI
  1. Si vous créez une nouvelle configuration de domaine pour un domaine personnalisé, la commande permettant d'activer l'agrafage du serveur OCSP peut se présenter comme suit :

    aws iot create-domain-configuration --domain-configuration-name "myDomainConfigurationName" \ --server-certificate-arns arn:aws:iot:us-east-1:123456789012:cert/f8c1e5480266caef0fdb1bf97dc1c82d7ba2d3e2642c5f25f5ba364fc6b79ba3 \ --server-certificate-config "enableOCSPCheck=true|false"
  2. Si vous mettez à jour une configuration de domaine existante pour un domaine personnalisé, la commande permettant d'activer l'agrafage du serveur OCSP peut se présenter comme suit :

    aws iot update-domain-configuration --domain-configuration-name "myDomainConfigurationName" \ --server-certificate-arns arn:aws:iot:us-east-1:123456789012:cert/f8c1e5480266caef0fdb1bf97dc1c82d7ba2d3e2642c5f25f5ba364fc6b79ba3 \ --server-certificate-config "enableOCSPCheck=true|false"

Pour plus d'informations, consultez CreateDomainConfigurationet consultez le UpdateDomainConfigurationGuide de référence des AWS IoT API.

Remarques importantes concernant l'utilisation de l'agrafage OCSP de certificats de serveur dans AWS IoT Core

Lorsque vous utilisez le certificat de serveur OCSP dans AWS IoT Core, gardez les points suivants à l'esprit :

  1. AWS IoT Core prend en charge uniquement les répondeurs OCSP accessibles via des adresses IPv4 publiques.

  2. La fonction d'agrafage OCSP intégrée AWS IoT Core ne prend pas en charge le répondeur autorisé. Toutes les réponses OCSP doivent être signées par l'autorité de certification qui a signé le certificat, et l'autorité de certification doit faire partie de la chaîne de certificats du domaine personnalisé.

  3. La fonctionnalité d'agrafage OCSP intégrée AWS IoT Core ne prend pas en charge les domaines personnalisés créés à l'aide de certificats auto-signés.

  4. AWS IoT Core appelle un répondeur OCSP toutes les heures et met la réponse en cache. Si l'appel au répondeur échoue, AWS IoT Core agrafera la réponse valide la plus récente.

  5. Si elle n'nextUpdateTimeest plus valide, la réponse AWS IoT Core sera supprimée du cache et TLS Handshake n'inclura pas les données de réponse OCSP avant le prochain appel réussi au répondeur OCSP. Cela peut se produire lorsque la réponse mise en cache a expiré avant que le serveur n'obtienne une réponse valide du répondeur OCSP. La valeur de nextUpdateTime suggère que la réponse OCSP sera valide jusqu'à ce moment. Pour plus d’informations sur nextUpdateTime, consultez Entrées du journal OCSP du certificat de serveur.

  6. Parfois, AWS IoT Core ne reçoit pas la réponse OCSP ou supprime la réponse OCSP existante car elle a expiré. Si de telles situations se produisent, AWS IoT Core continuera à utiliser le certificat de serveur fourni par le domaine personnalisé sans la réponse OCSP.

  7. La taille de la réponse OCSP ne peut pas dépasser 4 KiB.

Résolution des problèmes liés à l'agrafage des certificats de serveur OCSP AWS IoT Core

AWS IoT Core envoie la RetrieveOCSPStapleData.Success métrique et les entrées du RetrieveOCSPStapleData journal à CloudWatch. La métrique et les entrées du journal peuvent aider à détecter les problèmes liés à la récupération des réponses OCSP. Pour plus d'informations, consultez Métrique d'agrafage OCSP du certificat de serveur et Entrées du journal OCSP du certificat de serveur.