Vérification de la révocation des certificats OCSP pour X.509

Le protocole OCSP (On-line Certificate Status Protocol) permet aux applications de déterminer le statut de révocation d'un certificat identifié. OCSP peut être utilisé pour répondre à certaines conditions de fonctionnement consistant à fournir des données de révocation plus précises avec les listes de révocation des certificats (LRC), et peut également être utilisé pour obtenir des informations d'état supplémentaires. Un client OCSP émet une demande d'état au répondeur OCSP et suspend l'acceptation du certificat en question jusqu'à ce que le répondeur fournisse une réponse.

Pour Domino®, les vérifications OCSP sont uniquement effectuées pendant la vérification de la signature S/MIME par le client Notes®. Les certificats révoqués génèrent un message d'erreur à l'utilisateur, et toutes les données des transactions OCSP sont placées dans la base locale LOG.NSF du client. Les utilisateurs ont la possibilité d'accepter le certificat révoqué.

Pour pouvoir bénéficier de cette fonctionnalité, un répondeur OCSP non-Domino doit être disponible au sein de l'organisation pour effectuer la vérification des signatures.

OCSP est activé par une politique, via un paramètre de l'onglet Clés et certificats du document des paramètres de politique de sécurité.