Qu'est-ce que la révocation de certificat et quand un certificat SSL doit-il être révoqué ?
Les certificats numériques sont essentiels pour une sécurité fondée sur l'identité. La gestion du cycle de vie, y compris la révocation des certificats, est cruciale. La révocation des certificats permet d'éviter les failles de sécurité et les violations.
Table des Matières
Les certificats numériques sont le moteur des stratégies de sécurité actuelles axées sur l'identité, et compte tenu de la dépendance accrue à l'égard de ces certificats (et de leur volume croissant), on ne peut nier l'importance d'une gestion stratégique du cycle de vie. Cependant, les personnes ou les entités qui ont besoin de certificats se concentrent souvent sur les premières étapes de ce cycle de vie : la découverte, la délivrance et, éventuellement, les renouvellements. Certes, ces processus sont cruciaux, mais ils doivent parfois être accompagnés d'une autre étape, souvent moins bien comprise : la révocation des certificats.
La révocation d'un certificat permet d'invalider un certificat avant qu'il n'expire. Il s'agit d'un élément essentiel du cycle de vie de la gestion des certificats qu'il convient de comprendre, car il permet de prévenir les vulnérabilités et les failles de sécurité qui pourraient être causées par une clé privée compromise, un certificat émis à tort, et bien d'autres choses encore.
Dans cet article, nous verrons l'objectif de cette étape du cycle de vie, quand elle est nécessaire, ce qu'elle implique, etc.
Quel est l'objectif de la révocation d'un certificat ?
La révocation d'un certificat sert de protection en cas de compromission d'un certificat SSL/TLS. Lorsque des signes de problèmes sont détectés, les certificats numériques doivent être révoqués afin d'empêcher les utilisateurs non autorisés d'usurper l'identité d'entités ou de permettre à des acteurs malveillants d'exploiter des certificats compromis.
Au niveau individuel, cela garantit que chaque certificat est capable de remplir sa fonction première : établir des connexions sécurisées et, en fin de compte, une plus grande tranquillité d'esprit. Les capacités de révocation sont également importantes à plus grande échelle, car elles s'inscrivent dans le cadre d'efforts plus larges de gestion des risques et peuvent contribuer à améliorer la confiance entre les serveurs web, les navigateurs et d'autres parties.
Quand révoquer un certificat SSL ?
Les révocations de certificats sont très courantes et il n'est pas rare que les détenteurs de certificats prennent cette mesure à un moment ou à un autre. Voici les principales raisons pour lesquelles un certificat SSL est révoqué :
- Compromission de la clé. L'un des principaux motifs de révocation est le vol ou la compromission des clés privées du certificat. Ces clés peuvent être compromises en raison d'une mauvaise gestion des clés, d'un chiffrement insuffisant ou de toute une série d'autres problèmes - mais lorsque cela se produit, il est essentiel de révoquer rapidement le certificat.
- Délivré à tort. Les certificats numériques sont conçus pour vérifier l'identité de leur détenteur. Si cette identité n'est pas correctement vérifiée par l'autorité de certification, il est possible que l'entité qui obtient le certificat soit frauduleuse. Dans certains cas, des acteurs menaçants ont réussi à obtenir des certificats par le biais de l'hameçonnage et d'autres activités malveillantes. Bien que le fait de travailler avec une autorité de certification très respectée puisse limiter le risque de tels problèmes, il est également important de disposer d'options de révocation afin que, dans le pire des cas, les certificats délivrés à tort puissent être rapidement révoqués.
- Changements dans la propriété des domaines. La révocation des certificats n'est pas toujours de nature strictement réactionnaire. Elle peut également intervenir en réponse à des changements de propriétaire de domaine, dans le but d'empêcher toute utilisation abusive de la part d'un nouveau propriétaire. Dans ce cas, la révocation est également justifiée en raison du manque de confiance qui pourrait survenir si l'authenticité du certificat était remise en question.
- Cyberattaques. Dans le cas d'un logiciel malveillant ou d'une autre cyberattaque, une révocation rapide est essentielle. Dans le cas contraire, les certificats compromis pourraient contribuer à la propagation des logiciels malveillants.
Qu'est-ce qu'une liste de révocation de certificats (LRC) ?
Une liste de révocation de certificats (LCR) est un enregistrement des certificats numériques qui ont été révoqués. Cette liste est créée et signée par une autorité de certification et constitue un moyen simple d'indiquer les certificats qui ne sont plus valides et auxquels il ne faut plus faire confiance.
Les entrées des LCR peuvent inclure les numéros de série des certificats, ainsi que des détails sur la date de révocation et l'autorité de certification émettrice. Elles sont ensuite envoyées à divers sites de distribution afin de garantir leur accessibilité et de permettre aux parties qui en dépendent de télécharger facilement ces ressources et de les mettre en cache. Ces LCR doivent être mises à jour régulièrement afin de garantir l'exactitude des informations relatives aux certificats révoqués.
Qu'est-ce que le protocole d'état des certificats en ligne (OCSP) ?
Le protocole OCSP (Online Certificate Status Protocol) permet de vérifier en temps réel l'état des certificats, car les navigateurs web et d'autres entités peuvent envoyer une demande à un serveur OCSP pour obtenir des informations sur l'état de révocation d'un certificat. Cela permet de combler les lacunes de la CRL, car cette liste est mise à jour périodiquement et non en temps réel.
Le processus OCSP commence par une demande du client à un serveur OCSP, qui peut être géré directement par l'autorité de certification concernée. Dès réception de cette demande OCSP, le répondeur vérifie rapidement l'état du certificat en question. La réponse qui s'ensuit doit immédiatement indiquer si le certificat reste valide ou s'il a été révoqué. Le client peut alors prendre des mesures en fonction de cette réponse ou continuer à vérifier la CRL et obtenir des détails supplémentaires.
Réémission d'un SSL après révocation
La révocation n'est qu'une étape dans le vaste cycle de vie d'un certificat, qui en comprend plusieurs autres : émission, utilisation et surveillance, expiration et renouvellement. Lorsque la révocation s'avère nécessaire, un plan doit être mis en place pour s'assurer que les certificats numériques valides offrent toujours une couverture solide. Pour ce faire, une demande est soumise à l'autorité de certification et l'identité de la personne ou de l'entité qui souhaite obtenir un nouveau certificat est vérifiée.
Au cours de ce processus, d'autres vérifications d'état peuvent être nécessaires pour s'assurer que les certificats compromis ont été correctement révoqués. En outre, l'autorité de certification peut procéder à un examen approfondi afin de déterminer les circonstances entourant la révocation précédente. Ceci est important pour promouvoir les demandes de réémission légitimes. Comme pour les processus de renouvellement « classiques », la validation est cruciale et comprend l'examen de la propriété du domaine et d'autres détails. Le nouveau certificat peut alors être émis, installé et configuré en toute confiance.
Conseils pratiques
La révocation des certificats joue un rôle essentiel dans la promotion de la sécurité numérique. Ce n'est qu'un des composants de la série complexe de solutions de certificats numériques offertes par Sectigo Certificate Manager (SCM).
L'objectif : rationaliser tous les aspects de la gestion du cycle de vie des certificats afin d'améliorer l'efficacité et la sécurité. Nous proposons également des certificats SSL/TLS très fiables, qui sont essentiels pour l'authentification des identités et la création de connexions sécurisées.
Explorez ces possibilités ou profitez d'un essai gratuit de SCM pour découvrir la puissance de la gestion automatisée du cycle de vie des certificats.
Envie d'en savoir plus ? Contactez nous pour réserver une démo de Sectigo Certificate Manager !
Articles associés :
Comment fonctionnent le protocole d'état des certificats en ligne et l'agrafage OCSP, etc.