Le protocole OCSP, technique de tracking pour les GAFAM ?
29 octobre 2017
Cela fait plusieurs fois que je m’interroge sur l’utilisation et le fonctionnement du protocole OCSP dans Firefox. Il sert à connaître la validité des certificats TLS/SSL des sites sur lesquels vous naviguez. Vous pouvez voir la liste de ces sites OCSP dans Firefox après avoir tapé about:networking dans la barre d’adresses. Notez que les requêtes Http effectuées vers ces sites passent en clair !!!
1e100.net
Google utilise l’adresse ocsp.pki.goog qui, après résolution DNS via la commande nslookup, renvoie vers le domaine 1e100.net… acheté par Google en 2009 !
L’inefficacité des bloqueurs
A des fins de tests, j’ai donc tenté de bloquer les adresses commençant par http://ocsp. dans mon bloqueur Silent Block. J’y ai même ajouté le domaine 1e100.net ! En vain.
La 1ère solution, consiste à utiliser votre fichier hosts et d’ajouter :
0.0.0.0 ocsp.pki.goog
L’intérêt de cette technique est qu’elle s’applique aussi bien au HTTP qu’au SMTP, au POP et à l’IMAP. Le souci majeur est que la liste des sites OCSP associés à chaque autorité de certification est longue ! J’ai donc regardé dans la configuration de Firefox (about:config) si je pouvais désactiver le mécanisme et j’ai trouvé. Il vous suffit de passer l’option security.OCSP.enabled à 0.
Les données récupérées
Il s’agit des en-têtes habituels envoyés par le navigateur à l’occasion d’une requête Http, ainsi que le host vers lequel s’effectue la requête :
