Liste de révocation de certificats
La liste de révocation de certificats (CRL, certificate revocation list) est la liste des identifiants des certificats qui ont été révoqués ou invalidés[1] et qui ne sont donc plus dignes de confiance.
Cette norme est spécifiée dans les RFC 5280[2] et RFC 6818[3].
Un certificat peut devenir invalide pour de nombreuses raisons autres que l'expiration naturelle, telle que la perte ou la compromission de la clé privée associée au certificat ou le changement d'au moins un champ inclus dans le nom du titulaire/ détenteur du certificat.
C'est pourquoi la norme définit le format d'une liste indiquant les certificats devenus invalides pour une autorité de certification donnée. Cette liste est signée par l'autorité de certification pour en empêcher toute modification par une personne non autorisée. Elle comprend une date d'émission, une date de mise à jour (toutes 2 optionnelles) et la liste proprement dite sous la forme de paire (numéro de série du certificat révoqué ; motif éventuel de révocation). Le motif ne peut être présent que dans les CRL au format version 2.
Une limitation parfois gênante des CRL est le délai de propagation des informations de révocation. Pour le réduire, le protocole OCSP de validation de certificat a été développé. Défini dans la RFC 6960[4], il donne à peu près les mêmes informations que les CRL, mais potentiellement plus à jour.
La RFC 3280[5] liste les possibles états de révocation :
- « revoked », révocation définitive;
- « hold », révocation temporaire.
Cette technique est susceptible d'être utilisée pour tracer l'activité des utilisateurs.
Elle est considérée obsolète par IBM (2017 - voir article CRL (fr))
Quelques listes de révocation de certificats
- crl3.digicert.com
- crl.globalsign.net
- crl.usertrust.com
Voir aussi
Articles connexes
Notes et références
- Les raisons multiples d'invalidation sont définies dans la RFC 5280 par un reasonCode : keyCompromise, superseded, ...
- (en) « Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile », Request for comments no 5280, .
- (en) « Updates to the Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile », Request for comments no 6818, .
- (en) « X.509 Internet Public Key Infrastructure Online Certificate Status Protocol - OCSP », Request for comments no 6960, .
- (en) « Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile », Request for comments no 3280, .