Révocation de Certificat et CRL

Gérez la révocation de vos certificats en cas de compromission ou de changement.

La révocation de certificat est le processus qui invalide un certificat SSL avant sa date d'expiration. C'est une mesure de sécurité essentielle en cas de compromission de la clé privée, de changement d'organisation, ou simplement quand un certificat n'est plus nécessaire.

Deux mécanismes principaux permettent de vérifier la révocation : les CRL (Certificate Revocation Lists) et OCSP (Online Certificate Status Protocol). Comprendre ces mécanismes est crucial pour maintenir la sécurité de votre infrastructure.

MoniTao surveille vos certificats et vous aide à maintenir une infrastructure SSL saine. En cas de besoin de révocation, vous serez préparé avec les nouvelles clés et certificats.

Qu'est-ce que la Révocation ?

Comprendre les concepts de révocation :

  • Révocation vs Expiration : l'expiration est automatique à la date prévue. La révocation est une action manuelle qui invalide immédiatement un certificat.
  • CRL (Certificate Revocation List) : une liste signée par la CA contenant tous les certificats révoqués. Les clients téléchargent périodiquement cette liste.
  • OCSP (Online Certificate Status Protocol) : permet de vérifier le statut d'un certificat spécifique en temps réel sans télécharger toute la CRL.
  • Délai de propagation : la révocation n'est pas instantanée. Les CRL sont mises à jour périodiquement et les caches OCSP ont une durée de vie.

Raisons de Révoquer un Certificat

Quand devez-vous révoquer un certificat :

  • Clé privée compromise : si votre clé privée a été volée ou exposée, révoquez immédiatement le certificat et générez-en un nouveau.
  • Changement d'organisation : en cas de fusion, acquisition, ou changement de nom, les anciens certificats peuvent nécessiter une révocation.
  • Certificat remplacé : quand vous remplacez un certificat avant son expiration, vous pouvez révoquer l'ancien par précaution.
  • Erreur dans le certificat : informations incorrectes dans le certificat (mauvais domaine, mauvaise organisation) nécessitent une révocation.

Comment Révoquer un Certificat

Étapes pour révoquer votre certificat :

  1. Préparez le remplacement : avant de révoquer, générez un nouveau certificat pour éviter toute interruption de service.
  2. Contactez votre CA : connectez-vous à votre compte chez l'autorité de certification et trouvez l'option de révocation.
  3. Indiquez la raison : vous devrez souvent spécifier la raison de la révocation (compromission, changement, etc.).
  4. Confirmez et installez le nouveau : après confirmation, installez immédiatement le nouveau certificat sur votre serveur.

Vérifier le Statut de Révocation

Comment vérifier si un certificat est révoqué :

# Vérifier via OCSP
openssl s_client -connect example.com:443 2>/dev/null | \
  openssl x509 -noout -ocsp_uri
# Résultat: http://ocsp.example-ca.com

# Requête OCSP manuelle
openssl ocsp -issuer chain.pem -cert cert.pem \
  -url http://ocsp.example-ca.com -resp_text

# Télécharger et vérifier la CRL
curl -O http://crl.example-ca.com/crl.pem
openssl crl -in crl.pem -text -noout

# Let's Encrypt - Révoquer avec Certbot
certbot revoke --cert-path /etc/letsencrypt/live/domain/cert.pem

Ces commandes permettent de vérifier le statut d'un certificat ou de le révoquer via Certbot pour Let's Encrypt.

Bonnes Pratiques

Conseils pour la gestion des révocations :

  • Toujours avoir un backup : avant de révoquer, assurez-vous d'avoir un nouveau certificat prêt à être installé.
  • Documentez les clés : gardez une trace de toutes vos clés et certificats pour pouvoir révoquer facilement en cas de besoin.
  • Révoquez proactivement : ne laissez pas traîner d'anciens certificats non utilisés. Révoquez-les par précaution.
  • Surveillez vos certificats : utilisez MoniTao pour maintenir une vue d'ensemble de tous vos certificats actifs.

Checklist Révocation

  • Nouveau certificat généré
  • Nouveau certificat testé
  • Ancien certificat révoqué via CA
  • Nouveau certificat installé
  • Ancienne clé privée supprimée
  • Monitoring mis à jour

Questions Fréquentes

La révocation est-elle instantanée ?

Non, il peut y avoir un délai de plusieurs heures avant que tous les clients ne voient la révocation, selon leurs caches CRL/OCSP.

Puis-je "dé-révoquer" un certificat ?

Non, la révocation est définitive. Vous devez obtenir un nouveau certificat.

Que se passe-t-il si je ne révoque pas un certificat compromis ?

Un attaquant pourrait l'utiliser pour des attaques MITM jusqu'à son expiration. La révocation est essentielle.

Comment révoquer un certificat Let's Encrypt ?

Utilisez la commande certbot revoke --cert-path /chemin/vers/cert.pem.

Les navigateurs vérifient-ils vraiment la révocation ?

La plupart utilisent OCSP avec soft-fail : si OCSP ne répond pas, ils acceptent le certificat. Chrome utilise ses propres listes.

MoniTao détecte-t-il les certificats révoqués ?

MoniTao vérifie la validité des certificats. Un certificat révoqué causera une erreur SSL qui déclenchera une alerte.

Préparez-vous à la Révocation

La révocation est une situation qu'on espère éviter mais pour laquelle il faut être préparé. Une procédure claire et des certificats de remplacement prêts minimisent l'impact d'une compromission.

Avec MoniTao, maintenez une vue d'ensemble de vos certificats et soyez prêt à réagir rapidement en cas de besoin de révocation.

Liens utiles

Prêt à dormir sur vos deux oreilles ?

Commencez gratuitement, sans carte bancaire.

Créer mon compte Voir les tarifs