Liste de révocation des certificats – Guide complet

Dernière mise à jour le par Dionisie Gitlan

Bienvenue dans le guide essentiel sur les listes de révocation de certificats (CRL), un aspect essentiel de la sécurité en ligne. Ce guide permet d’éviter le jargon et d’aller droit au but.

Vous êtes-vous déjà demandé ce qui se passe lorsqu’un certificat numérique n’est plus digne de confiance ? Il s’agit d’un drapeau rouge dans le monde numérique, qui signale des risques potentiels. Nous sommes ici pour analyser les LCR – ce qu’elles sont, ce qu’elles contiennent, et pourquoi vous devriez vous en préoccuper.

Nous vous fournirons des exemples concrets de certificats révoqués, en vous montrant les conséquences tangibles d’une négligence de leur importance. À la fin de ce guide, vous comprendrez l’importance des vérifications régulières des LCR pour le maintien de l’intégrité des certificats numériques.

Pas de fioritures, juste des faits. Plongeons dans le vif du sujet. Qu’est-ce qu’une LCR en matière de cybersécurité?

Table des matières

  1. Qu’est-ce qu’une liste de révocation de certificats ?
  2. Quel est l’objectif des listes de révocation de certificats ?
  3. Que comprend une LCR ?
  4. Comment fonctionne la LCR ?
  5. Comment consulter l’état de révocation d’un certificat ?

Qu’est-ce qu’une liste de révocation de certificats ?

Une liste de révocation de certificats, ou CRL, est essentiellement une liste noire de certificats numériques discrédités. Maintenue par une autorité de certification (AC), cette liste contient tous les certificats SSL que l’AC a révoqués avant leur date d’expiration prévue. Ce processus est également connu sous le nom de révocation des certificats PKI.

Lorsque vous naviguez en ligne, votre navigateur vérifie constamment cette liste. S’il rencontre un certificat dans la CRL, il ne fera pas confiance au site web ou au service associé à ce certificat. Il s’agit d’une mesure de sécurité essentielle qui contribue à garantir l’intégrité de la transmission des données en ligne.

Mais pourquoi les autorités de certification révoqueraient-elles un certificat ? Les raisons peuvent être multiples. La clé privée du certificat a peut-être été compromise, ou l’autorité de certification a émis le certificat par erreur. Quelle qu’en soit la raison, une fois qu’un certificat figure dans la CRL, il n’est plus fiable.

Pour garantir l’efficacité de cette mesure de sécurité, les AC doivent régulièrement mettre à jour la LCR et la rendre facilement accessible aux systèmes des utilisateurs. C’est l’une des principales responsabilités de l’autorité de certification. Ils doivent également fournir un mécanisme permettant aux utilisateurs de vérifier l’état de révocation des certificats, généralement par le biais d’un service en ligne.

Quel est l’objectif des listes de révocation de certificats ?

La CRL est un outil qui renforce la sécurité en ligne en gérant et en conservant la trace des certificats non sécurisés qui pourraient compromettre la sécurité d’un système. Son objectif est de fournir un système strict de contrôle et d’équilibre, en signalant tout certificat douteux afin de prévenir les cyber-attaques potentielles.

En comprenant le rôle de la LCR, vous pouvez mieux gérer votre cadre de sécurité numérique. Voici quelques points clés à noter :

  • Les LCR contiennent des certificats qui ne sont plus valides.
  • Des mises à jour régulières de la CRL sont nécessaires pour garder une trace des certificats non valides.
  • L’utilisation des LCR réduit le risque d’utilisation abusive des certificats.
  • Garantir la validité des certificats SSL grâce aux LCR est une mesure de sécurité proactive.

Avantages de la LCR

Le LCR offre plusieurs avantages importants :

  • Il empêche les accès non autorisés en invalidant immédiatement les certificats compromis.
  • Il prend en charge le protocole d’état des certificats en ligne (OCSP), qui vérifie l’état d’un certificat numérique.
  • Il renforce la cybersécurité globale en maintenant l’intégrité des certificats.
  • Il atténue les cyber-risques potentiels associés à des certificats compromis ou expirés.
  • Il garantit un environnement en ligne sûr et fiable, ce qui favorise la confiance.

Gestion des certificats non sécurisés

Tout en renforçant votre sécurité en ligne, il est essentiel de comprendre le rôle de la CRL dans la gestion des certificats non sécurisés.

Comme vous le savez déjà, une CRL est une liste de certificats de clé publique révoqués par l’autorité de certification émettrice avant leur expiration. Ces certificats, appelés certificats non fiables, sont invalidés pour diverses raisons, telles que la compromission de la clé privée ou la signature frauduleuse. Ils représentent un risque important pour votre sécurité en ligne.

Le LCR joue donc un rôle essentiel dans la réduction de ce risque. Il facilite l’identification et le rejet rapides des certificats non fiables, empêchant ainsi l’accès de tiers et les violations potentielles de données.

Que comprend une LCR ?

Une LCR comprend des éléments essentiels tels que le nom de l’autorité de certification, l’heure de mise à jour de la liste et une liste de certificats révoqués, chacun avec son propre numéro de série et sa date de révocation.

  1. Numéro de version: Indique la version du format de la CRL.
  2. Signature Algorithm Identifier: Spécifie l’algorithme utilisé par l’AC pour signer la LCR.
  3. Émetteur : identifie l’entité (généralement une autorité de certification) qui a émis la LCR.
  4. Cette mise à jour: indique la date de publication de la LCR.
  5. Prochaine mise à jour : spécifie la date à laquelle la prochaine LCR doit être émise. Jusqu’à cette date, la LCR actuelle est considérée comme valide.
  6. Certificats révoqués: Contient une liste des certificats numériques révoqués par l’autorité de certification. Chaque entrée comprend le numéro de série, la date de révocation et parfois un code de motif.
  7. Extensions: Informations ou caractéristiques supplémentaires, telles que le point de distribution de la CRL, l’identifiant de la clé d’autorité ou d’autres extensions personnalisées.

La LCR est périodiquement mise à jour et distribuée par l’autorité de certification afin de garantir que les parties utilisatrices (entités utilisant les certificats) puissent accéder aux dernières informations sur les certificats révoqués dans un délai donné.

Comment fonctionne la LCR ?

Voyons maintenant comment fonctionne la LCR. Les LCR sont distribuées à des points précis, puis font l’objet d’une vérification méticuleuse de la révocation. La gestion des certificats révoqués et la mise à jour régulière de la CRL sont des étapes cruciales pour garantir l’efficacité et la sécurité du système.

Points de distribution des LCR

Les points de distribution des LCR sont un élément central du fonctionnement des LCR. Il s’agit de serveurs qui stockent et distribuent les LCR. Ils servent de plaque tournante pour la gestion et la vérification de l’état des certificats numériques.

Le point de distribution reçoit des mises à jour de l’autorité de certification concernant l’état de révocation des certificats. Chaque fois qu’un certificat est révoqué, l’autorité de certification met à jour le point de distribution de la CRL.

Les entités finales, telles que les navigateurs, peuvent interroger le point de distribution des LCR pour vérifier l’état de révocation d’un certificat. Le point de distribution transmet la CRL à toutes les entités qui en font la demande.

Processus de vérification de la révocation

Tout en gardant un œil sur le rôle des points de distribution des LCR, examinons comment le processus de vérification de la révocation, ou le fonctionnement de la LCR, fonctionne réellement.

Au cours du processus de vérification de la révocation des certificats, le système récupère d’abord la CRL à partir d’un point de distribution spécifié. Cette liste contient tous les certificats qui ont été révoqués avant leur date d’expiration.

Votre système compare alors le certificat présenté à cette liste. Si le certificat se trouve dans la CRL, il est considéré comme indigne de confiance et la connexion est rejetée. Ce processus garantit que les certificats révoqués ne sont pas reconnus par erreur, ce qui maintient la sécurité.

Toutefois, il est essentiel que la CRL soit tenue à jour, car des informations obsolètes peuvent compromettre l’intégrité du processus de vérification.

Traitement des certificats révoqués

Voici comment fonctionne la procédure de LCR :

  • L’autorité de certification délivre des certificats et tient également à jour la liste de contrôle des certificats (CRL).
  • Si un certificat est compromis, l’autorité de certification le révoque.
  • L’autorité de certification met à jour la CRL pour y inclure le numéro de série des certificats révoqués.
  • Lorsqu’un serveur reçoit le certificat d’un client, il vérifie la CRL.
  • Le serveur rejette la connexion si le certificat du client figure dans la CRL.

Mise à jour régulière de la CRL

L’émetteur de la LCR publie périodiquement des mises à jour afin de maintenir l’intégrité et la fiabilité de la liste. Cette mise à jour régulière élimine le risque d’informations obsolètes, qui pourraient compromettre la sécurité de votre système et de vos données sensibles.

La mise à jour n’est pas une simple tâche manuelle. Il s’agit plutôt d’un processus technique complexe dicté par des protocoles spécifiques. Lorsqu’une autorité de certification révoque un certificat, elle met à jour la CRL. La LCR est ensuite signée numériquement par l’émetteur et distribuée à toutes les entités qui en dépendent. Ce processus doit se dérouler correctement, car les erreurs peuvent entraîner d’importantes failles de sécurité.

Comment consulter l’état de révocation d’un certificat ?

L’accès à une CRL dépend de l’autorité de certification qui a émis les certificats qui vous intéressent. Les LCR sont généralement mises à disposition par les autorités de certification à des points de distribution spécifiques, comme indiqué dans les certificats.

Pour trouver le point de distribution de la CRL, vous pouvez inspecter le certificat lui-même. Voici un guide général pour la vérification de l’état de révocation des certificats :

Via les détails du certificat dans votre navigateur

Si vous disposez du fichier de certificat, vous pouvez généralement l’ouvrir à l’aide d’une visionneuse de certificats ou d’une application prenant en charge l’inspection des certificats.

  1. Cliquez sur l’icône du cadenas à côté de l’URL.
  2. Cliquez sur Connexion sécurisée puis sur Certificat valide.
  3. Recherchez l’extension CRL Distribution Points (CDP).
  4. L’extension CDP contient une ou plusieurs URL pointant vers les emplacements où les LCR sont publiées.
  5. Ouvrez l’onglet Détails et, sous les champs de certificat, faites défiler jusqu’à Extension.
  6. Cliquez sur les points de distribution de CRL.
  7. Dans le champ Valeur, copiez l’URL et collez-la dans la barre d’adresse.
  8. Le navigateur télécharge le fichier CRL. Ouvrez-le pour voir les informations relatives à la liste de révocation.
Vue de la CRL dans Chrome

Via OpenSSL

Voici un exemple d’utilisation d’OpenSSL pour récupérer une CRL :

openssl crl -inform DER -in exampleca.crl -text

Remplacez exampleca.crl par le nom de fichier ou l’URL de la CRL que vous souhaitez inspecter.

N’oubliez pas que certaines autorités de certification peuvent fournir des LCR par le biais de mécanismes différents, tels que le protocole LDAP (Lightweight Directory Access Protocol) ou d’autres protocoles. En outre, certaines autorités de certification peuvent proposer des services OCSP (Online Certificate Status Protocol) comme alternative aux LCR.

Si vous travaillez avec une autorité de certification spécifique, consultez sa documentation ou son site web pour savoir comment accéder à ses fichiers CRL. Si vous ne cherchez que des exemples, certaines autorités de certification fournissent des exemples de LCR ou des LCR accessibles au public à des fins de test, mais soyez prudent et respectez les conditions d’utilisation associées à ces ressources.

FAQ

Où puis-je trouver la liste des certificats révoqués ?

Pour vérifier un certificat, le client se connecte aux URL spécifiés par l’autorité de certification pour télécharger les listes de révocation de certificats. Ces listes contiennent des informations sur les certificats révoqués. Vous trouverez les URL des CRL dans les détails du certificat SSL, sous la rubrique Extensions de certificat, et plus précisément dans la section Points de distribution des CRL.

Comment créer une liste de révocation de certificats ?

Pour créer une LCR, il faut utiliser un outil ou un logiciel de l’autorité de certification pour générer la liste, y compris les détails des certificats révoqués, puis distribuer la LCR aux entités qui s’en servent pour la validation des certificats dans un système d’infrastructure à clé publique (ICP).

Comment afficher la liste de révocation des certificats sous Windows ?

Sous Windows, vous pouvez consulter la liste de révocation des certificats (CRL) en ouvrant le gestionnaire de certificats à l’aide de la commande “certmgr.msc”, en naviguant jusqu’au dossier “Revocation Lists”, puis en sélectionnant la CRL souhaitée pour en afficher les détails. Vous pouvez également utiliser la commande “certutil” dans l’invite de commandes avec l’option “-urlcache” suivie de l’URL de la CRL pour afficher des informations sur la CRL.

Quelle est la différence entre CRL et OCSP ?

Ces deux méthodes sont utilisées en cybersécurité pour vérifier si un certificat numérique, comme ceux utilisés dans le protocole HTTPS, est toujours valide. La principale différence réside dans la manière dont ils fournissent ces informations : La CRL utilise une liste de certificats révoqués mise à jour périodiquement, tandis que l’OCSP interroge directement l’autorité de certification en temps réel pour confirmer l’état d’un certificat.

Qui vérifie l’état de révocation des certificats ?

La responsabilité de vérifier l’état de révocation du certificat incombe au client (navigateur). Il incombe au navigateur de vérifier si un certificat a été révoqué avant d’établir une connexion.

Qu’advient-il d’un certificat révoqué ?

Lorsqu’un certificat est révoqué, cela signifie qu’il n’est plus considéré comme valide. Les parties utilisatrices, telles que les navigateurs, rejetteront par conséquent les connexions basées sur ce certificat, ce qui renforcera la sécurité et atténuera les risques potentiels.

Conclusion

En conclusion, une liste de révocation de certificats contribue à maintenir la sécurité des communications numériques en invalidant rapidement les certificats compromis ou révoqués. Sa mise en œuvre efficace garantit l’intégrité et la fiabilité des transactions et des communications en ligne. Avec l’évolution des technologies, il est impératif de perfectionner en permanence les LCR dans les mécanismes de cybersécurité afin de préserver la solidité des cadres de sécurité numérique.

Economisez 10% sur les certificats SSL en commandant aujourd’hui!

Émission rapide, cryptage puissant, confiance de 99,99 % du navigateur, assistance dédiée et garantie de remboursement de 25 jours. Code de coupon: SAVE10

Économisez 10% dès maintenant!
Rédigé par

Rédacteur de contenu expérimenté spécialisé dans les certificats SSL. Transformer des sujets complexes liés à la cybersécurité en un contenu clair et attrayant. Contribuer à l'amélioration de la sécurité numérique par des récits percutants.

Articles connexes
Qu’est-ce qu’un ensemble d’autorités de certification (CA Bundle) dans le cadre du protocole SSL et comment le créer ?
Certificats racine et intermédiaire – Quelle est la différence ?
Qu’est-ce qu’une autorité de certification et comment fonctionnent-elles ?
Qu’est-ce qu’un dossier CAA et comment fonctionne-t-il ?
Qu’est-ce que la garantie d’un certificat SSL et comment fonctionne-t-elle ?