ediverse Explorer la plateforme

À la une PEPPOL BIS Billing 3.0 L’obligation européenne d’e-invoicing arrive : France sept 2026, Belgique janv 2026, Allemagne 2025.

OCSP

Online Certificate Status Protocol. La RFC 6960 qui permet de vérifier en temps réel le statut de révocation d'un certificat X.509.

Définition

OCSP (Online Certificate Status Protocol) est un protocole IETF qui permet à un client (navigateur, MTA, serveur AS2) d'interroger un répondeur OCSP de l'autorité de certification pour savoir si un certificat X.509 est encore valide ou s'il a été révoqué. La réponse est signée par l'AC et inclut un horodatage. OCSP est plus léger et plus à jour que les listes de révocation CRL.

Origine

OCSP a été normalisé par l'IETF dans la RFC 2560 en juin 1999, puis révisé dans la RFC 6960 en juin 2013. L'extension OCSP stapling (RFC 6066, 2011) permet au serveur TLS de présenter directement une réponse OCSP récente lors du handshake, ce qui supprime la charge réseau côté client. Dans le contexte EDI, OCSP est obligatoire dans PEPPOL pour valider chaque certificat AS4 avant échange.

Exemple en contexte

Quand un Access Point PEPPOL reçoit une connexion AS4 entrante, il vérifie le certificat client en interrogeant le répondeur OCSP d'OpenPEPPOL (URL portée dans l'extension Authority Information Access du certificat). Si la réponse retourne revoked, la connexion est refusée et le message rejeté avant déchiffrement. Cette vérification ajoute typiquement 100 à 300 ms à chaque handshake, justifiant souvent un cache OCSP côté AP.

Termes liés

  • X.509 — le format de certificat dont OCSP vérifie le statut.
  • mTLS — l'authentification mutuelle qui consomme typiquement OCSP.
  • TLS 1.3 — la version TLS où OCSP stapling est standardisé.

Dernière mise à jour: 14 mai 2026