Si un certificat valide et non encore expiré doit être retiré de la circulation, il doit être révoqué. À cette fin, les autorités de certification tiennent à jour des listes de blocage dans lesquelles sont répertoriées les empreintes numériques des certificats révoqués. Elles doivent être consultées lors du contrôle de validité.
Il est parfois nécessaire qu'un certificat délivré par une autorité de certification soit retiré avant sa date d'expiration. Pour ce faire, une autorité de certification tient à jour une liste de révocation. Il s'agit d'un fichier signé avec une date d'expiration relativement courte, qui est utilisé en combinaison avec le certificat pour vérifier sa validité.
Listes de révocation de certificats (CRL)
Afin de pouvoir vérifier si les certificats émis par une PKI sont encore autorisés à être utilisés, cette information doit être mise à la disposition des partenaires de communication. Si un certificat est révoqué ou révoqué, par exemple en raison d'un vol, son numéro de série est déposé dans une liste de révocation de certificats (CRL, Certificate Revocation List).
Les raisons suivantes peuvent être invoquées pour la révocation des certificats :
| Code | Désignation | Description |
|---|---|---|
| 0 | Non spécifié | Il s'agit du paramètre par défaut, qui indique qu'il n'y a pas de raison particulière pour la révocation. |
| 1 | Compromis clé | La clé privée d'un certificat a été dérobée ou connue d'une autre manière par des tiers non autorisés. |
| 2 | CA Compromise | La clé privée de l'autorité de certification a été dérobée ou connue d'une autre manière par des tiers non autorisés. |
| 3 | Affiliation Changed | Si le contenu du certificat a changé (par ex. le nom de l'utilisateur), un nouveau certificat doit être émis. |
| 4 | Superseded | Le certificat révoqué a été remplacé par un nouveau certificat. |
| 5 | Cessation d'activité | L'exploitation du service faisant partie du certificat a été interrompue, par exemple parce qu'il existe un nouveau service sous un autre nom. |
| 6 | Certificate Hold | Le certificat est révoqué temporairement. Ce type de révocation est le seul qui permette d'annuler la révocation ultérieurement. |
| 8 | Remove from CRL | Si un certificat a été révoqué avec le motif "Certificate Hold" et que des listes de blocage delta sont utilisées, le certificat révoqué avec ce code est maintenu dans la liste de blocage delta jusqu'à ce que l'entrée dans la liste de blocage principale soit supprimée. |
| -1 | Unrevoke | Si un certificat a été révoqué avec le motif "Certificate Hold", ce code permet de le débloquer par ligne de commande. De même, le code d'auditÉvénement 4870 l'annulation de la révocation d'un certificat est signalée par ce code. |
La disponibilité continue de la CRL est nettement plus importante que celle de l'AC elle-même : Si le statut de révocation d'un certificat doit être vérifié par un ordinateur et qu'une CRL valide n'est pas disponible à ce moment-là, la vérification échoue. Cette situation est extrêmement critique, notamment en raison des périodes de validité très courtes des CRL (en général quelques jours).
Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.
Jusqu'à trois champs sont disponibles pour déterminer la validité temporelle d'une CRL :
| Désignation (anglais) | Description |
|---|---|
| Cette mise à jour | Ce champ contient la date à laquelle la liste de révocation a été signée, ce qui marque le début de sa période de validité. Les autorités de certification Microsoft placent la valeur dix minutes avant l'heure actuelle afin de compenser les différences d'heure système (en anglais „clock skew“) des différents participants. |
| Prochaine mise à jour | Ce champ contient la date à laquelle la liste de révocation n'est plus valable et doit être remplacée par une nouvelle liste de révocation. Les autorités de certification Microsoft fixent la valeur dix minutes dans le futur afin de compenser les différences d'heure système des différents participants. |
| Prochaine date de publication | Ce champ optionnel contient la date à laquelle une nouvelle liste de révocation doit être émise par l'autorité de certification. Les clients qui ont encore l'ancienne liste de révocation dans leur cache peuvent continuer à l'utiliser jusqu'à la date d'expiration effective („Next Update“), mais ont déjà la possibilité de télécharger une nouvelle liste de révocation (cette fonction est appelée "pre-fetching"). L'utilisation de ce champ lors de l'émission de listes de blocage est également appelée chevauchement CRL (CRL overlapping). |
L'extension „Next Publishing Date“ de la liste de révocation des certificats est propriétaire pour l'autorité de certification Microsoft. Pour cette raison, elle est marquée comme non critique, car elle n'est pas interprétée correctement par toutes les applications.
L'emplacement à partir duquel la CRL actuelle peut être obtenue (p. ex. un serveur web) est communiqué via l'attribut CDP (angl. Certificate Revocation List Distribution Point) au sein des certificats.
Un inconvénient évident de l'utilisation des CRL est qu'elles peuvent devenir très volumineuses avec le temps, si de nombreux certificats sont révoqués. Pour des raisons d'actualité et donc, en fin de compte, de sécurité, une CRL devrait avoir une période de validité aussi courte que possible (souvent quelques jours seulement).
Les CRL doivent être téléchargées à chaque mise à jour par tous les systèmes et applications qui effectuent une vérification de la liste de révocation, ce qui peut se traduire, au fur et à mesure de la croissance des CRL, par une saturation du réseau et des temps d'attente correspondants lors de la validation des certificats.
L'autorité de certification Microsoft supprime les numéros de série des certificats expirés des listes de révocation émises après leur expiration, afin de réduire leur taille autant que possible.
L'autorité de certification Microsoft conserve toutes les listes de révocation de certificats non encore expirées dans la base de données des autorités de certification. Une émission trop fréquente de listes de révocation de certificats peut donc avoir un impact sur la taille de la base de données des autorités de certification.
Ce problème peut être en partie contourné par des delta CRL. Ces fichiers sont générés à intervalles plus courts en plus d'une CRL régulière (la CRL de base) et ne contiennent que les modifications apportées depuis la dernière publication de la CRL de base. En raison de la courte durée de validité des delta CRL, il faut toutefois prévoir un temps de réaction nettement réduit en cas de défaillance de l'autorité de certification, de sorte que l'utilisation de delta CRL ne peut être recommandée que si une couverture en personnel correspondante ainsi que des mesures d'urgence appropriées ont été définies.
Un problème général des CRL est qu'elles doivent être constamment accessibles. Généralement, les clients mettent en cache une CRL, mais le nombre de renouvellements de ce cache augmente, notamment en raison des périodes de validité plus courtes dues aux CRL delta. Si un client ne peut pas télécharger une CRL actuelle parce que le CDP n'est pas disponible à ce moment-là et que la copie dans le cache a expiré, le certificat à vérifier est classé comme non fiable.
En raison de ce problème, certains fabricants de navigateurs ont même décidé entre-temps de ne plus faire vérifier par leurs produits le statut de révocation des certificats numériques sur Internet si les CRL ne peuvent pas être récupérées. Cela ne constitue toutefois pas une option dans un environnement d'entreprise hautement critique en termes de sécurité.
Protocole de statut des certificats en ligne (OCSP)
Le protocole de statut des certificats en ligne (Online Certificate Status Protocol, OCSP) constitue une alternative aux listes de révocation.
Au lieu de télécharger une CRL (prétendument grande), un client demande pour chaque certificat à vérifier le statut de révocation à un soi-disant répondeur en ligne et reçoit une réponse signée indiquant si le certificat a été révoqué ou non.
Pour une description détaillée, voir l'article „Principes de base du répondeur en ligne (Online Certificate Status Protocol, OCSP)„ .
Liens complémentaires :
- Principes de base des infrastructures à clés publiques (PKI)
- Révocation d'un certificat délivré
- Consulter et supprimer le cache d'adresses des listes de blocage (CRL URL Cache)
- Configurer le „Magic Number“ pour le répondeur en ligne
- Consultation du tableau des listes de blocage de la base de données des autorités de certification
- Comment est formé le numéro de série d'un certificat ?
- Configurer le "bon" déterministe pour le répondeur en ligne (OCSP)
Sources externes
- RFC 5280 : Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile (Internet Engineering Task Force)
- Heartbleed (Wikipedia)
- Quel est le statut de la vérification des révocations dans les navigateurs ? (Ryan Hurst)
Français 
Deutsch 
English
Les commentaires sont fermés.