Révocation de certificats, comment cela fonctionne avec les CRLs ou OCSP
Partager
La révocation des certificats SSL joue un rôle crucial dans le maintien de la sécurité et de l'intégrité de l'écosystème de la Public Key Infrastructure (PKI).
Lorsqu'un certificat SSL doit être invalidé avant sa date d'expiration naturelle, l'autorité de certification (CA) doit disposer de mécanismes fiables pour informer les clients et les navigateurs que le certificat SSL n'est plus digne de confiance.
Ce processus permet de protéger les utilisateurs contre les SSL Certificates compromis ou frauduleux qui pourraient autrement rester actifs pendant des mois ou des années.
Comprendre les Certificate Revocation List (CRL)
Les SSL Certificate Revocation List représentent la méthode traditionnelle de publication d'informations sur les SSL Certificates révoqués.
Une CRL est essentiellement une liste horodatée signée par une Certificate Authority qui contient les numéros de série de tous les certificats SSL révoqués qui n'ont pas encore atteint leur date d'expiration.
Lorsqu'un navigateur rencontre un certificat SSL, il peut télécharger et consulter la CRL correspondante pour vérifier si ce certificat SSL a été révoqué.
Les LCR sont généralement mises à jour par les Certificate Authorities à intervalles réguliers, souvent toutes les 24 heures ou en cas de révocation urgente. Chaque CRL contient des métadonnées essentielles, notamment le nom de l'émetteur, la date d'entrée en vigueur et l'heure de la prochaine mise à jour.
Bien que les LCR constituent une solution complète pour la vérification de l'état des SSL Certificates, elles peuvent devenir assez volumineuses car elles accumulent les certificats SSL révoqués au fil du temps. Ce problème de taille peut entraîner une augmentation de l'utilisation de la bande passante et des impacts potentiels sur les performances lorsque les clients doivent télécharger et traiter les listes.
Protocole d'état des certificats en ligne (OCSP)
Le protocole OCSP a été mis au point pour pallier les limites des SSL Certificates en fournissant des informations en temps réel sur l'état des certificats SSL.
Au lieu de télécharger des listes de révocation complètes, l'OCSP permet aux clients de demander l'état actuel d'un certificat SSL spécifique directement à l'autorité de certification. Cette approche réduit considérablement les besoins en bande passante et fournit des mises à jour plus immédiates de l'état de révocation par rapport aux systèmes basés sur les CRL.
Lorsqu'un navigateur se connecte à un site web sécurisé par un SSL Certificate, il peut envoyer une requête OCSP pour vérifier l'état du certificat SSL. Le répondeur OCSP, géré par la Certificate Authority, renvoie une réponse signée indiquant si le certificat SSL est valide, révoqué ou inconnu.
Ce processus est rapide et efficace, ne nécessitant généralement que quelques kilo-octets de transfert de données.
Agrafage OCSP et améliorations modernes
L'agrafage OCSP représente une amélioration significative du modèle OCSP traditionnel. Avec l'agrafage OCSP, le serveur web obtient périodiquement une réponse OCSP de la part de la Certificate Authority et inclut (agrafe) cette réponse directement dans la poignée de main SSL Certificates/TLS.
Cette approche élimine la nécessité pour les navigateurs d'effectuer des requêtes OCSP séparées, ce qui réduit les temps de connexion et améliore la confidentialité en empêchant l'autorité de certification de suivre les vérifications individuelles de l'état des certificats SSL.
Les certificats SSL modernes émis par Trustico® prennent en charge les méthodes de vérification de la révocation CRL et OCSP, ce qui garantit une compatibilité et une sécurité maximales entre les différents systèmes clients.
Les administrateurs de serveurs peuvent configurer leurs systèmes pour qu'ils utilisent l'agrafage OCSP, ce qui permet d'obtenir des performances optimales tout en maintenant des processus de validation de certificats SSL solides.
La mise en œuvre de ces mécanismes de vérification de la révocation contribue à maintenir la sécurité globale de l'écosystème des SSL Certificates et à protéger les utilisateurs contre des certificats SSL potentiellement compromis.
Scénarios de révocation courants
La révocation des certificats SSL se produit généralement dans plusieurs scénarios courants. La compromission d'une clé privée est l'une des raisons les plus importantes de la révocation immédiate d'un SSL Certificate, car elle indique la possibilité d'un accès non autorisé à des communications cryptées.
D'autres scénarios incluent les changements de nom de l'organisation, la mise hors service du serveur ou la découverte d'informations incorrectes dans la demande initiale de certificat SSL.
Les Certificate Authorities comme Trustico® maintiennent des procédures strictes pour traiter les demandes de révocation afin d'assurer que l'intégrité du système PKI demeure intacte.
