Appliquer la vérification OCSP en cas d’erreur réseau [Nouveau dans Security Center 1.3 et mis à jour dans la version 2.0]

  • Rversion finale: Zurich
  • Mis à jour 31 juil. 2025
  • 1 minute de lecture

    • Découvrez comment configurer la propriété pour empêcher les acteurs malveillants de contourner les com.glide.communications.httpclient.ocsp_allow_network_error vérifications OCSP (Online Certificate Status Protocol).

    Si com.glide.communications.httpclient.ocsp_allow_network_error n’est pas défini sur la valeur recommandée faux et que la vérification OCSP (Online Certificate Status Protocol) rencontre une erreur réseau (par exemple, un délai d’expiration ou un problème lors de l’extraction des informations de révocation), elle contourne la vérification de sécurité OCSP et la considère comme réussie. Cela pourrait permettre à un attaquant avec un certificat révoqué de rompre l’infrastructure de clé publique (PKI) et la confiance du certificat numérique qui sont à la base du Web. L’utilisation de certificats révoqués est souvent un indicateur d’activité malveillante, sauf si les serveurs sont désynchronisés.

    Assurez-vous que la propriété com.glide.communications.httpclient.ocsp_allow_network_error existe et qu’elle est définie sur faux. Si la propriété n’apparaît pas dans la table sys_properties, ajoutez un nouvel enregistrement.

    En savoir plus

    Attribut Description
    Nom de la configuration com.glide.communications.httpclient.ocsp_allow_network_error
    Type de configuration Propriétés système (/sys_properties_list.do)
    Type de données Booléen
    Valeur recommandée Faux
    Valeur par défaut vrai
    Catégorie Communications
    Risque de sécurité
    • Score de gravité : 5,9
    • Score CVSS : moyen
    • Détails du risque de sécurité : ne pas définir cette propriété sur faux peut permettre à un acteur malveillant de contourner le contrôle de sécurité OCSP.
    Dépendances et prérequis Aucun
    Impact fonctionnel Cette propriété détermine si une demande relative à l’URI OCSP (Online Certificate Status Protocol) de l’AIA (Authority Information Access) aboutit à une réussite ou à un échec en cas d’erreur de connexion ou de délai d’expiration. Lorsque la valeur est définie sur faux, l’état de révocation du certificat de serveur présenté ne peut pas être validé et entraîne une défaillance de la communication avec ce point de terminaison. Si une erreur réseau se produit lorsque la propriété est définie sur sa valeur par défaut true, le certificat est considéré comme valide du point de vue de la révocation.