From 85c8c9f750bcf1c230dc581833912b71bf2d8016 Mon Sep 17 00:00:00 2001
From: jlecour <jlecour+gitit@evolix.fr>
Date: Thu, 10 Nov 2016 15:06:18 +0100
Subject: [PATCH] =?UTF-8?q?pr=C3=A9cisions=20OCSP?=
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit

---
 HowtoSSL.md | 8 +++++---
 1 file changed, 5 insertions(+), 3 deletions(-)

diff --git a/HowtoSSL.md b/HowtoSSL.md
index 1a46d664..5b04f942 100644
--- a/HowtoSSL.md
+++ b/HowtoSSL.md
@@ -182,13 +182,15 @@ $ openssl x509 -noout -ocsp_uri -in certificate.crt
 http://ocsp.example.com
 ~~~
 
-Puis, interroger le serveur OCSP obtenu (ici http://ocsp.example.com) avec la chaine de certification (chainfile.pem) et le certificat (certificat.crt) à vérifier :
+Puis, interroger le serveur OCSP obtenu (ici http://ocsp.example.com) avec la chaîne de certification (chainfile.pem) et le certificat (certificat.crt) à vérifier :
 
 ~~~{.bash}
-$ openssl ocsp -issuer chainfile.pem -cert certificat.crt -text -url http://ocsp.example.com -header "HOST" "www.example.com"
+$ openssl ocsp -issuer chainfile.pem -cert certificat.crt -text -url http://ocsp.example.com
 ~~~
 
-Dans le cas d'un certificat révoqué on verra les lignes suivantes :
+Dans le cas où un proxy filtrant est utilisé, il faut bien penser à autoriser les domaines/IP des serveurs OCSP en question, sinon on récupère une erreur 403 et la requête OCSP n'est pas validée.
+
+Dans le cas d'un **certificat révoqué** on verra les lignes suivantes :
 
 ~~~
 Cert Status: revoked