Stream

PKI

Autorité de certification souveraine pour l'émission et la gestion de certificats à l'échelle de l'entreprise
Horizon

CLM

Gestion du cycle de vie des certificats : découverte, gouvernance et automatisation
Parler à un expert Voir toutes les intégrations

Cas d'usage

Certificats serveur TLS

Sécurisez le trafic web à grande échelle

Inventaire des certificats

Découvrez et suivez tous vos certificats

Certificats DevOps

Automatisez pour les pipelines CI/CD

Chiffrement d'e-mails

S/MIME pour la messagerie d'entreprise
Voir tous les cas d'usage

Secteurs

Banque & Finance

Secteur public

Santé

Énergie & Utilities

Aérospatial & Défense
Voir tous les secteurs

Conformité

Directive NIS2

Obligations européennes en cybersécurité

DORA

Résilience opérationnelle numérique

eIDAS 2.0

Identification électronique et services de confiance

RGPD

Protection des données et vie privée

Cyber Resilience Act

Règlement européen sur la sécurité des produits
Voir toutes les réglementations
Parler à un expert

Apprendre

Guides

43 articles

Guides PKI et tutoriels approfondis

Glossaire

50+ termes

Terminologie PKI et cryptographie

Centre d'apprentissage

Vidéos et ressources pédagogiques

Livres blancs

Ressources techniques détaillées

Outils & Analyses

Crypto Decoder

Gratuit

Décodez et validez des certificats

Blog & Analyses

Tendances et analyses cybersécurité

Actualités

Actualités et annonces de l'entreprise

Événements & Communauté

Webinaires

Sessions animées par nos experts PKI

Événements & Conférences

Retrouvez-nous partout dans le monde

Kit média

Logos et ressources de marque
Contacter le commercial Explorer toutes les ressources
Part 3 · PKI Architecture Intermediate 9 min read

Révocation de certificats

Les certificats ont des dates d'expiration, mais il arrive que la confiance doive être retirée avant cette échéance. La révocation de certificats est le mécanisme qui permet aux organisations d'invalider un certificat immédiatement en cas de problème : clé privée compromise, départ d'un collaborateur ou changement de propriétaire d'un domaine.

En bref

Type
Educational
Niveau
Intermediate
Chapitre
13 sur 25
Suivant
Certificate Transparency

Vue d'ensemble

Lorsqu'une autorité de certification émet un certificat numérique, elle définit une période de validité : une date de début et une date d'expiration. Dans des conditions normales, le certificat est approuvé pendant toute cette fenêtre, puis rejeté ensuite. Mais que se passe-t-il lorsqu'un certificat doit être invalidé avant son expiration ?

C'est là qu'intervient la révocation de certificats. La révocation est le processus par lequel une CA déclare qu'un certificat précédemment émis ne doit plus être approuvé, même s'il n'a pas encore expiré. Sans révocation, un certificat compromis resterait valide jusqu'à son expiration naturelle, ce qui pourrait laisser à un attaquant des jours, des semaines ou des mois pour usurper l'identité d'un serveur légitime, signer du code malveillant ou intercepter des communications chiffrées.

L'écosystème PKI propose deux mécanismes principaux pour communiquer le statut de révocation aux clients : les listes de révocation de certificats (CRL) et le protocole OCSP (Online Certificate Status Protocol). Chaque approche présente des forces et des compromis distincts, et leur compréhension est essentielle pour quiconque gère des certificats à grande échelle.

Étapes clés

1

Le serveur récupère la réponse OCSP

Le serveur web interroge périodiquement le répondeur OCSP pour connaître le statut de son propre certificat. La réponse OCSP signée est mise en cache localement sur le serveur. Cela se produit en arrière-plan et n'affecte pas les requêtes des utilisateurs.

2

La réponse est agrafée à la poignée de main TLS

Lorsqu'un client se connecte, le serveur inclut la réponse OCSP mise en cache dans la poignée de main TLS (plus précisément dans le message CertificateStatus). Le client reçoit le certificat et son statut de révocation en un seul aller-retour.

3

Le client valide la réponse agrafée

Le client vérifie que la réponse OCSP agrafée est signée par la CA, qu'elle est toujours dans sa période de validité et confirme le statut du certificat comme « good ». Comme la réponse est signée par la CA, le serveur ne peut pas falsifier un statut favorable.

Comment nous aidons

Evertrust & Révocation de certificats

Flux de révocation instantanésEvertrust CLM vous permet de révoquer n'importe quel certificat de votre inventaire en une seule action, en notifiant automatiquement la CA émettrice et en mettant à jour vos enregistrements internes. Lorsqu'une compromission de clé est détectée, chaque seconde compte.

Gestion des CRL et de l'OCSPEvertrust PKI fonctionne comme une autorité de certification complète, avec publication intégrée des CRL et un répondeur OCSP. Les CRL sont générées selon un planning défini et les réponses OCSP sont diffusées avec des intervalles de fraîcheur configurables, garantissant aux parties prenantes un accès permanent à des données de révocation à jour.

Surveillance de la révocationEvertrust surveille en continu le statut de révocation de tous les certificats de votre inventaire et vous alerte si un certificat dont vous dépendez a été révoqué par une CA externe. Cette vigilance est essentielle à l'intégrité de la chaîne.

Remplacement automatisé après révocationRévoquer un certificat ne représente que la moitié du travail. Evertrust automatise l'émission et le déploiement d'un certificat de remplacement immédiatement après la révocation, évitant les interruptions qui suivent souvent les processus de révocation manuels.

Parler à un expert Découvrir CLM
Le standard X.509 expliqué Certificate Transparency