Qu'est-ce qu'une liste de révocation de certificat?
Une liste de révocation du certificat (CRL) est un composant de la norme de sécurité X.509 de l'Union internationale des télécommunications. Selon la norme X.509, une autorité de certificat (CA) peut utiliser un CRL pour placer une prise ou révocation explicitement, tout certificat de sécurité numérique qu'il a émis et qui n'a pas expiré. Le CRL est ensuite distribué et utilisé par divers programmes informatiques pour confirmer la validité des certificats de sécurité utilisés pour identifier une source.
La génération d'un certificat de sécurité par un CA relève de ce que l'on appelle une infrastructure de clé publique (PKI). Grâce à un PKI, tout utilisateur peut être identifié par la clé publique de sa paire de clés de sécurité, la clé privée de l'utilisateur étant l'autre moitié de la paire. Un utilisateur contacte ensuite un CA et, en utilisant sa clé publique comme identification, demande un certificat de sécurité. Après une certaine mesure de vérification de l'identité réelle de l'utilisateur, le CA peut alors délivrer un certificat lié à la clé publique de l'utilisateur. Par cette méthode, leCA agit comme un tiers de confiance, garantissant l'identité de l'utilisateur qui a reçu un certificat.
Un certificat de sécurité numérique reçoit généralement une durée de vie d'un ou deux ans. Après l'expiration du certificat, l'utilisateur doit renouveler son certificat existant en ré-validant son identité ou en demandant un nouveau certificat. La date d'expiration d'un certificat est incluse dans le certificat lui-même, de sorte que les logiciels informatiques saient quand ne plus honorer un certificat expiré. Il y a cependant des moments où un certificat peut être révoqué avant sa date d'expiration. Pour ces cas, un CA doit maintenir une liste de révocation des certificats qui répertorie tous les certificats qui n'ont pas expiré mais ne peuvent être fiables pour une raison quelconque.
Une liste de révocation de certificat contient un certain nombre de raisons possibles pour révoquer un certificat. Le plus courant étant que la clé privée pour le propriétairedu certificat n'est plus sûr, date à laquelle le certificat reste sur la liste jusqu'à sa date d'expiration. Dans ce cas, l'utilisateur doit générer une nouvelle paire de clés et demander un tout nouveau certificat.
Il y a, bien sûr, d'autres raisons pour lesquelles un certificat peut apparaître dans le CRL. Un certificat peut être répertorié s'il a été remplacé par un autre ou s'il y a des modifications des informations contenues dans le certificat sur son propriétaire, ou si le CA lui-même a été compromis, après quoi le CA lui-même apparaît sur ce qu'on appelle une liste de révocation d'autorité (ARL). Une autre raison pour laquelle un certificat peut apparaître sur un CRL est que le certificat est mis en attente pour une raison quelconque. Dans le cas d'un certificat répertorié comme étant détenu, il peut ensuite être rétabli dans le CRL suivant distribué par le CA. Les nombreux changements fréquents des statuts des certificats de sécurité numérique signifient qu'une liste de révocation de certificat a généralement une espérance de vie d'environ 24 heures, bien que parfois moins.