← retour aux snippets

openssl ocsp: vérifier la révocation d'un certificat

Interroger un répondeur OCSP pour savoir si un certificat est révoqué.

bash security #openssl #ocsp #revocation

16 août 2025

objectif

Valider l’état de révocation d’un certificat au-delà de sa date de validité.

code minimal

# extraire l'URL OCSP du cert serveur
echo | openssl s_client -connect data.pm:443 -servername data.pm 2>/dev/null | openssl x509 -noout -ocsp_uri

utilisation

# supposez cert.pem (cert serveur) et issuer.pem (CA intermédiaire)
openssl ocsp -issuer issuer.pem -cert cert.pem -url http://ocsp.example/ -resp_text -noverify

variante(s) utile(s)

# vérifier avec stapling (via s_client -status déjà couvert)
echo | openssl s_client -connect data.pm:443 -servername data.pm -status 2>/dev/null | awk '/OCSP response/ , /^$/{print}'

notes

certains OCSP exigent -nonce; d’autres le refusent.
pour la prod, appuyez-vous sur le stapling et la vérification du client TLS.