Qu'est-ce qu'une liste de révocation de certificat?
Une liste de révocation de certificats (CRL) est un composant de la norme de sécurité X.509 de l'Union internationale des télécommunications (UIT). Selon la norme X.509, une autorité de certification peut utiliser une liste de révocation de certificats pour suspendre ou révoquer explicitement tout certificat de sécurité numérique qu'elle a émis et qui n'a pas expiré. La liste de révocation de certificats est ensuite distribuée et utilisée par divers programmes informatiques pour confirmer la validité des certificats de sécurité utilisés pour identifier une source.
La génération d'un certificat de sécurité par une autorité de certification relève de ce qu'on appelle une infrastructure à clé publique (PKI). Grâce à une infrastructure à clé publique, tout utilisateur peut être identifié par la clé publique de sa paire de clés de sécurité, la clé privée de l'utilisateur étant l'autre moitié de la paire. Un utilisateur contacte ensuite une autorité de certification et, utilisant sa clé publique comme identification, demande un certificat de sécurité. Après une certaine mesure de vérification de l'identité réelle de l'utilisateur, l'autorité de certification peut alors émettre un certificat lié à la clé publique de l'utilisateur. Par cette méthode, l’AC agit en tant que tiers de confiance, garantissant l’identité de l’utilisateur auquel un certificat a été émis.
Un certificat de sécurité numérique a généralement une durée de vie d'un ou deux ans. Une fois le certificat expiré, l'utilisateur doit renouveler son certificat existant en validant à nouveau son identité ou en demandant un nouveau certificat. La date d'expiration d'un certificat est incluse dans le certificat lui-même. Le logiciel informatique sait alors quand ne plus honorer un certificat expiré. Il arrive cependant qu'un certificat doive être révoqué avant sa date d'expiration. Pour ces instances, une autorité de certification doit maintenir une liste de révocation de certificats répertoriant tous les certificats non expirés mais ne pouvant être approuvés pour une raison quelconque.
Une liste de révocation de certificats contient un certain nombre de raisons possibles pour révoquer un certificat. Le plus souvent, la clé privée du propriétaire du certificat n'est plus sûre. À ce stade, le certificat reste sur la liste jusqu'à sa date d'expiration. Dans ce cas, l'utilisateur doit générer une nouvelle paire de clés et demander un nouveau certificat.
Il y a bien sûr d'autres raisons pour lesquelles un certificat peut apparaître dans la liste de révocation de certificats. Un certificat peut être répertorié s'il a été remplacé par un autre ou si les informations contenues dans le certificat concernant son propriétaire ont été modifiées, ou si l'autorité de certification elle-même a été compromise, après quoi l'autorité de certification elle-même apparaît dans une liste de révocation d'autorité. (ARL). Une autre raison pour laquelle un certificat peut figurer sur une liste de révocation de certificats est que le certificat est mis en attente pour une raison quelconque. Dans le cas d'un certificat répertorié comme étant en attente, il peut ensuite être rétabli dans la prochaine liste de révocation de certificats distribuée par l'autorité de certification. Les nombreux changements fréquents dans les statuts des certificats de sécurité numérique signifient qu'une liste de révocation de certificats a généralement une espérance de vie d'environ 24 heures, bien que parfois moins.