Je trouve ce choix assez décevant, car cela augmente de manière assez importante la complexité pour les navigateurs/clients.
Par exemple, comment est-ce que cURL va gérer cela? (remarque aussi valable pour les systèmes qui sont dans des conteneurs temporaires)
L'avantage de OCSP Staple, c'est que c'était une complexité côté serveur (certes mal implémentée par certains serveurs...). J'appelle cela un avantage, car les serveurs sont aussi censés intégrer plus de complexité avec ARI.
Même si les buts sont différents, je pense que les mécanismes sous-jacents sont similaires : il s'agit d'interroger régulièrement (et en arrière-plan) l’émetteur du certificat (dans le cas de l'OCSP pour confirmer la non-révocation / dans le cas de l'ARI pour savoir quand le meilleur moment pour renouveler le certificat).
# La complexité devient croissante...
Posté par oliverpool (site web personnel) . En réponse au journal Fin d’OCSP chez Let’s Encrypt : quid ?. Évalué à 8.
Merci pour ce journal !
Je trouve ce choix assez décevant, car cela augmente de manière assez importante la complexité pour les navigateurs/clients.
Par exemple, comment est-ce que cURL va gérer cela? (remarque aussi valable pour les systèmes qui sont dans des conteneurs temporaires)
L'avantage de OCSP Staple, c'est que c'était une complexité côté serveur (certes mal implémentée par certains serveurs...). J'appelle cela un avantage, car les serveurs sont aussi censés intégrer plus de complexité avec ARI.
Même si les buts sont différents, je pense que les mécanismes sous-jacents sont similaires : il s'agit d'interroger régulièrement (et en arrière-plan) l’émetteur du certificat (dans le cas de l'OCSP pour confirmer la non-révocation / dans le cas de l'ARI pour savoir quand le meilleur moment pour renouveler le certificat).
PS: discussion en anglais sur lobste.rs à ce propos avec un dev de Let's Encrypt