Redirecting you to
Article de blog févr. 25, 2025

Comprendre la révocation délibérément retardée : une menace pour la confiance

La révocation retardée délibérée, où des certificats compromis restent valides plus longtemps que nécessaire, constitue un risque majeur pour la sécurité internet. Cette pratique ouvre des failles, réduit la confiance dans le Web PKI et affaiblit les normes de l’industrie. En tant qu’AC leader, Sectigo défend une révocation immédiate et transparente. L’industrie des CAs doit agir pour éliminer cette menace et garantir un internet fiable.

Table des Matières

La confiance est le fondement de l'Internet moderne. Chaque site Web sécurisé, chaque e-mail de confiance ou chaque document signé dépend de l'intégrité sous-jacente de l'infrastructure à clé publique (PKI). Pourtant, comme tout écosystème, la PKI n'est aussi forte que son maillon le plus faible. Parmi les différents problèmes qui menacent cette confiance, l'un d'entre eux se distingue à la fois par son omniprésence et par le fait qu'il peut être évité : la révocation délibérément retardée.

Cette pratique néfaste, qui consiste à laisser intentionnellement des certificats compromis valides pendant de longues périodes, est devenue un fléau dans l'ensemble du secteur. Elle compromet la sécurité, affaiblit la confiance des utilisateurs et ouvre la porte aux cybercriminels.

En tant que l'une des principales autorités de certification (AC), Sectigo a depuis longtemps reconnu que la révocation délibérément retardée est incompatible avec la mission de protection de l'intérêt public. Dans cet article, nous expliquerons pourquoi cette pratique persiste, les dangers qu'elle représente et pourquoi la communauté des AC doit prendre des mesures décisives pour l'éradiquer.

Qu'est-ce que la révocation délibérément retardée ?

Lorsqu'un certificat est émis par erreur, compromis ou jugé non fiable, l'autorité de certification responsable est tenue de le révoquer. La révocation garantit que le certificat n'est plus valide et empêche les personnes mal intentionnées d'en abuser.

Cependant, la révocation n'est pas toujours immédiate. En cas de révocation délibérément différée, certaines autorités de certification choisissent de privilégier leur convenance - ou celle de leurs clients - plutôt que l'intégrité de la PKI web. Au lieu d'invalider rapidement le certificat, elles retardent le processus pour minimiser les perturbations pour les clients ou pour éviter la complexité opérationnelle.

La justification de cette pratique repose souvent sur des avantages à court terme : conserver la satisfaction des clients, réduire les coûts de support ou éviter l'embarras d'admettre des erreurs. Mais ces justifications ignorent les implications plus larges pour la sécurité et la confiance.

Pourquoi est-ce une menace ?

L'impact d'une révocation délibérément retardée s'étend bien au-delà des limites de l'AC individuelle. Il sape la confiance même que les AC publiques sont chargées de protéger.

  1. Crée une fenêtre de vulnérabilité : en retardant la révocation, les certificats compromis restent valides et exploitables. Cela donne aux attaquants une fenêtre pour usurper l'identité d'entités de confiance, voler des données sensibles ou lancer des campagnes de phishing.
  2. Érode la confiance dans l'écosystème : les autorités de certification publiques opèrent dans un cadre de confiance partagé. Lorsqu'une autorité de certification ne remplit pas ses obligations, cela rejaillit sur l'ensemble de l'écosystème. Les utilisateurs peuvent perdre toute confiance dans la sécurité des communications.
  3. Affaiblit la conformité et les normes : le retard délibéré de la révocation crée un dangereux précédent. Si les autorités de certification estiment qu'elles peuvent ignorer ou contourner les règles par commodité, cela compromet les normes essentielles à la robustesse de la PKI sur le Web.
  4. Invite à la méfiance et entraîne des conséquences réglementaires : des exemples très médiatisés de révocation retardée, tels que ceux impliquant des dizaines de milliers de certificats, ont entraîné des réactions négatives importantes. Certaines autorités de certification ont fait face à la méfiance et à la suppression des programmes racine des navigateurs, un échec public et radical qui met en péril leur existence.

Pourquoi les autorités de certification doivent agir

Chez Sectigo, nous considérons la révocation comme un impératif moral et opérationnel. Lorsqu'un certificat est compromis, le temps presse et nous prenons des mesures immédiates. Ce n'est pas toujours facile. Cela implique un investissement important dans l'automatisation, une communication transparente avec les clients et une volonté d'absorber les désagréments à court terme.

Mais le résultat est clair : un écosystème plus sûr et plus fiable.

Le leadership éthique exige que les autorités de certification publiques respectent les normes les plus strictes, même lorsque c'est difficile. La révocation tardive n'est pas seulement une mauvaise habitude, c'est une trahison de la confiance qui nous est accordée en tant que gardiens du web.

Un appel à la communauté des autorités de certification

La solution à ce problème est claire : les autorités de certification publiques doivent s'engager à faire mieux. Cela commence par reconnaître que la révocation délibérément retardée n'a pas sa place dans notre secteur. À partir de là, il faut investir dans des systèmes qui rendent la révocation immédiate à la fois pratique et efficace.

La responsabilité est également essentielle. Les navigateurs et les organismes sectoriels doivent demander des comptes aux autorités de certification lorsqu'elles ne respectent pas leurs obligations. Les conséquences de l'inaction, ou pire, de la complaisance, sont tout simplement trop importantes.

À chaque autorité de certificaton : la révocation délibérément retardée est un choix. Il est temps d'en faire un meilleur.

La confiance se mérite

La confiance n'est pas une ressource renouvelable. Elle se gagne péniblement au fil des ans et peut être perdue en un instant. La révocation délibérément retardée érode la confiance même qui permet à la PKI du Web de fonctionner.

Chez Sectigo, nous nous sommes donné pour mission de donner la priorité au bien public, à la transparence et à la sécurité. Nous mettons les autres membres de la communauté des autorités de certification au défi de se joindre à nous pour éradiquer cette pratique néfaste et préserver la confiance que les utilisateurs nous accordent chaque jour.

La confiance est trop précieuse pour être gaspillée. Internet mérite mieux. Soyons à la hauteur.

Envie d'en savoir plus ? Contactez nous pour réserver une démo de Sectigo Certificate Manager !

Articles associés :

Root Causes 388: Qu'est-ce que le WebPKI ?

Qu'est-ce que la révocation de certificat et quand un certificat SSL doit-il être révoqué ?

Ce qu'il faut pour être une autorité de certification réputée