
Les certificats numériques constituent l’épine dorsale des interactions sécurisées en ligne, en vérifiant les identités et en garantissant une communication cryptée. Toutefois, lorsque ces certificats sont compromis ou utilisés à mauvais escient, ils doivent être rapidement révoqués pour maintenir la confiance. C’est là qu’interviennent les listes de révocation de certificats (LRC). Maintenues par les autorités de certification (AC), les LCR sont essentielles pour identifier et invalider les certificats révoqués avant qu’ils ne causent des dommages.
Dans ce guide, nous verrons ce que sont les CRL, comment elles fonctionnent et pourquoi elles sont essentielles à la sécurité des sites web.
Table des matières
- Qu’est-ce qu’une liste de révocation de certificats (CRL) ?
- Comment fonctionnent les LCR ?
- Pourquoi les certificats sont-ils révoqués ?
- LCR et alternatives : OCSP et les journaux de transparence des certificats

Qu’est-ce qu’une liste de révocation de certificats (CRL) ?
Une liste de révocation de certificats (CRL) est un fichier signé numériquement, créé par les autorités de certification (CA), qui répertorie les certificats numériques révoqués. Ces certificats sont révoqués avant leur date d’expiration prévue pour des raisons telles que des failles de sécurité, des compromissions de clés ou des changements administratifs. Les LCR sont essentielles dans l’infrastructure à clé publique (ICP) pour garantir la sécurité des communications en empêchant l’utilisation de certificats compromis.
Définie par la norme X.509 et la RFC 5280, une CRL contient des informations essentielles telles que les numéros de série des certificats invalides, les horodatages de révocation, la date de révocation et, dans certains cas, les raisons spécifiques de la révocation. Ce mécanisme garantit que les certificats révoqués sont signalés au cours du processus d’authentification.
Comment fonctionnent les LCR ?
Les listes de révocation de certificats constituent un système de vérification de la confiance au sein de l’infrastructure à clé publique (ICP). Lorsqu’un certificat numérique est révoqué, ses détails sont ajoutés à la LCR tenue par l’autorité de certification (AC) émettrice. Cette liste est mise à jour périodiquement et distribuée par l’intermédiaire de points de distribution de LCR spécifiés (CDP), auxquels il est possible d’accéder par l’intermédiaire d’URL incorporées dans le certificat.
Le processus de la LCR
Lorsqu’un navigateur web ou une application rencontre un certificat, il récupère la CRL associée à partir du CDP. La liste récupérée est analysée à la recherche du numéro de série du certificat afin de vérifier l’état de révocation du certificat. Si une correspondance est trouvée, le certificat est marqué comme révoqué et l’utilisateur est averti du risque potentiel, ce qui empêche l’acceptation incorrecte du certificat. Ce processus permet de bloquer les connexions non sécurisées avant qu’elles ne se produisent.
Les LCR sont généralement signées par l’autorité de certification qui les a émises, afin d’en garantir l’authenticité et d’empêcher toute falsification. Elles contiennent un horodatage et des informations sur la prochaine mise à jour prévue. Des mises à jour fréquentes sont nécessaires pour maintenir la fiabilité, mais peuvent poser des problèmes de performance, en particulier pour les LCR volumineuses.
Défis liés à la fonctionnalité des LCR
Les LCR ne sont pas sans limites. Leur dépendance à l’égard des mises à jour périodiques crée une fenêtre de latence pendant laquelle un certificat révoqué peut encore être accepté. En outre, la taille des LCR peut avoir une incidence sur l’efficacité : l’analyse de listes plus volumineuses nécessite davantage de ressources, ce qui ralentit les réponses, en particulier pour les appareils dotés d’une puissance de traitement limitée. La mise en cache des LCR au niveau local permet d’atténuer certains retards, mais introduit des risques supplémentaires si des mises à jour ne sont pas effectuées.
Pourquoi les certificats sont-ils révoqués ?
Les certificats numériques sont révoqués lorsque leur intégrité ou leur validité est compromise, ce qui garantit qu’ils ne peuvent pas être utilisés à mauvais escient pour violer des systèmes sécurisés. Cette mesure proactive prise par les autorités de certification (AC) empêche les acteurs malveillants d’exploiter les certificats révoqués pour contourner les protocoles de sécurité ou tromper les utilisateurs.
Les certificats peuvent être révoqués pour diverses raisons, notamment :
- Compromission de la clé: si la clé privée associée à un certificat est exposée ou soupçonnée d’être compromise, la révocation est nécessaire pour limiter l’accès non autorisé.
- Compromission de l’autorité de certification : lorsque la sécurité de l’autorité de certification émettrice est compromise, tous les certificats qu’elle émet peuvent perdre leur fiabilité.
- Certificats mal émis: Les erreurs commises lors de l’émission, telles qu’une validation incorrecte du domaine, nécessitent la révocation et la réémission du certificat.
- Changements de propriété: Les changements de propriétaire de domaine ou d’affiliation organisationnelle exigent souvent que les certificats soient révoqués et remplacés.
- Cessation des activités: Lorsque le détenteur d’un certificat cesse ses activités ou cesse de contrôler le domaine, la révocation permet de s’assurer que le certificat n’est pas utilisé à mauvais escient.

Les certificats compromis présentent des risques importants pour la cybersécurité. Un certificat révoqué qui n’est pas signalé à temps peut faciliter les attaques de type “man-in-the-middlel’usurpation d’identité, les violations de données et la diffusion de logiciels malveillants. Par exemple, les révocations à grande échelle par des autorités de certification comme Apple et Google soulignent l’importance de remédier rapidement aux vulnérabilités.
LCR et alternatives : OCSP et les journaux de transparence des certificats
Si les listes de révocation de certificats sont largement utilisées pour gérer les certificats révoqués, elles ne sont pas la seule méthode. Il existe d’autres méthodes, comme le le protocole d’état des certificats en ligne (OCSP) et les journaux de transparence des certificats (CT) offrent des approches distinctes pour résoudre les problèmes de confiance dans les certificats.
LCR et OCSP
- Les LCR reposent sur des listes mises à jour périodiquement que les navigateurs ou les applications téléchargent et analysent. Bien qu’efficace, cette approche hors ligne peut entraîner des retards, en particulier pour les listes volumineuses.
- OCSP fournit une validation en temps réel en permettant aux navigateurs d’interroger directement l’autorité de certification sur l’état d’un certificat spécifique. Au lieu de télécharger une liste complète, le navigateur reçoit une simple réponse : “bon”, “révoqué” ou “inconnu”.
- Agrafage OCSPL’agrafage OCSP, une amélioration, transfère la charge du client au serveur. Le serveur met en cache la réponse OCSP et l'”agrafe” au certificat pendant la poignée de main TLS, ce qui améliore les performances et la confidentialité.
CRLs vs. CT Logs
- Les LCR se concentrent exclusivement sur les certificats révoqués et n’abordent pas les certificats expirés, ce qui garantit que les informations d’identification compromises ne sont pas fiables.
- Les journaux de transparence des certificats, quant à eux, enregistrent tous les certificats émis. Ces journaux, qui ne comportent que des annexes, améliorent la transparence en révélant les certificats mal délivrés ou frauduleux, mais ils ne traitent pas de l’état de révocation.
Choisir la bonne approche
Les LCR restent efficaces pour la gestion par lots des certificats révoqués, mais peuvent avoir du mal à répondre aux exigences d’évolutivité et de temps réel. La vérification de la révocation des certificats par OCSP et sa variante d’agrafage offre des vérifications plus rapides et plus dynamiques, ce qui permet de remédier à certaines des limites des LCR. Dans le même temps, les CT Logs servent d’outil complémentaire, assurant le contrôle de l’émission des certificats, mais pas de leur révocation.
Pour une sécurité complète, les organisations combinent souvent ces méthodes. Les LCR sont idéales pour les environnements nécessitant des mises à jour en masse, tandis que l’OCSP permet des vérifications d’état instantanées. Les CT Logs ajoutent une couche supplémentaire de transparence, garantissant la confiance dans les écosystèmes numériques.
Assurez la sécurité de votre site web grâce à des solutions de confiance
Les listes de révocation de certificats jouent un rôle essentiel dans la protection des communications numériques en garantissant que les certificats révoqués ne peuvent pas être utilisés pour compromettre la sécurité.
Pour sécuriser votre site web à l’aide de certificats SSL de confiance émis par des autorités de certification réputées, faites appel à SSL Dragon. Explorez notre vaste gamme de certificats SSL et laissez-nous vous aider à assurer une présence numérique sécurisée et digne de confiance.
Economisez 10% sur les certificats SSL en commandant aujourd’hui!
Émission rapide, cryptage puissant, confiance de 99,99 % du navigateur, assistance dédiée et garantie de remboursement de 25 jours. Code de coupon: SAVE10
