Toutes les applications qui utilisent le Microsoft Cryptographic Application Programming Interface Version 2 (Crypto API Version 2, CAPI2) ont un mécanisme de mise en cache des informations de révocation des certificats (Listes de blocage des certificats et OCSP-réponses).
Il n'est donc pas possible de garantir, par exemple, qu'une liste de blocage nouvellement publiée sera utilisée par les participants avant que la liste de blocage précédente, qui se trouve encore dans la mémoire cache, n'ait expiré.
Nous décrivons ci-dessous comment consulter et influencer le cache de la liste de blocage.
Il est parfois nécessaire qu'un certificat délivré par une autorité de certification soit retiré avant sa date d'expiration. Pour ce faire, une autorité de certification tient à jour une liste de révocation. Il s'agit d'un fichier signé avec une date d'expiration relativement courte, qui est utilisé en combinaison avec le certificat pour vérifier sa validité.
Le Online Responder (Online Certificate Status Protocol, OCSP) est une autre manière de fournir des informations sur le statut de révocation des certificats. Grâce à l'OCSP, les entités qui souhaitent vérifier le statut de révocation d'un certificat ne doivent pas télécharger la liste complète de tous les certificats révoqués, mais peuvent adresser une demande ciblée au répondeur en ligne pour le certificat concerné. Pour une description plus détaillée, voir l'article "Principes de base du répondeur en ligne (Online Certificate Status Protocol, OCSP)„ .
Mise en œuvre
Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.
Le cache est mis en œuvre de deux manières :
- Cache spécifique à l'application
- Cache du système de fichiers
Le cache spécifique à l'application ne peut être effacé que par la fermeture et le redémarrage de l'application concernée, car il est conservé dans la mémoire vive. Pour les services système, il peut même être nécessaire de redémarrer l'ordinateur.
Il est toutefois possible de consulter et d'influencer le cache du système de fichiers. Il est possible de consulter le cache du système de fichiers à l'aide de la commande suivante.
certutil -urlcache
Dans ce cas, une séparation entre les listes de blocage et les réponses OCSP peut être effectuée à l'aide des options suivantes.
certutil -urlcache crl
certutil -urlcache ocsp
Le cache du système de fichiers peut être effacé à l'aide de la commande suivante :
certutil -urlcache * delete
Le cache du système de fichiers est présent une fois par profil d'utilisateur. Cependant, l'ordinateur lui-même avec le compte SYSTEM est également un utilisateur. Une suppression de ce cache peut par exemple être effectuée par un shell système ouvert avec psexec.
La suppression du cache du système de fichiers pour le compte SYSTEM peut être effectuée, par exemple, en exécutant une ligne de commande dans ce contexte de sécurité avec un outil tel que psexec démarre.
psexec -s -i cmd.exe
certutil -urlcache * delete
Français 
Deutsch 
English
Les commentaires sont fermés.