Chaque certificat est émis avec une période de validité spécifique. Révoquer un certificat le rend non valide en tant qu’informations d’identification de sécurité approuvées avant l’expiration normale de sa période de validité. Il existe plusieurs raisons pour lesquelles un certificat peut devenir non valide en tant qu’informations d’identification de sécurité approuvées avant l’expiration normale de sa période de validité. Notamment :
-
Compromission avérée ou soupçonnée de la clé privée du sujet du certificat.
-
Compromission avérée ou soupçonnée de la clé privée d’une autorité de certification.
-
Découverte du fait que le certificat a été obtenu de façon frauduleuse.
-
Changement d’état du sujet de certificat en tant qu’entité approuvée.
-
Changement de nom du sujet du certificat.
Il n’est pas toujours possible de contacter une autorité de certification ou un autre serveur approuvé pour obtenir des informations sur la validité d’un certificat. Pour prendre en charge efficacement la vérification de l’état du certificat, le client doit pouvoir accéder aux données de révocation afin de déterminer si un certificat est valide ou s’il a été révoqué. Afin de prendre en charge plusieurs scénarios, les services de certificats Active Directory (AD CS, Active Directory Certificate Services) prennent en charge les méthodes standard de révocation des certificats. Il s’agit notamment de la publication de listes de révocation de certificats (CRL) et de listes de révocation de certificats delta, qui peuvent être mises à la disposition des clients depuis différents emplacements, tels que les services de domaines Active Directory (AD DS, Active Directory Domain Services), les serveurs Web et les partages de fichiers réseau.
 | Remarques |
|
Dans Windows Server 2008 R2 et Windows Server 2008, un répondeur en ligne peut être utilisé pour rendre les données de listes de révocation de certificats plus accessibles dans des environnements réseau complexes. Un répondeur en ligne utilise les données de révocation de certificat des listes de révocation de certificats et traite les demandes d’état de certificat provenant des clients de manière individuelle. |
Les listes CRL sont des listes complètes et signées numériquement de certificats qui ont été révoqués. Ces listes sont publiées périodiquement et peuvent être récupérées et mises en cache par les clients (selon la durée de vie configurée pour la liste) et utilisées pour vérifier l’état de révocation des certificats.
Les listes CRL pouvant devenir volumineuses, en fonction du nombre de certificats émis et révoqués par l’autorité de certification, vous pouvez aussi publier des listes CRL plus petites et provisoires appelées listes CRL delta. Les listes CRL delta contiennent uniquement les certificats révoqués depuis la dernière publication de la liste CRL standard. Elles permettent aux clients de récupérer la plus petite liste CRL delta et de créer plus rapidement une liste complète de certificats révoqués. L’utilisation de listes CRL delta autorise également la publication plus fréquente de données de révocation car la taille de la liste CRL delta ne nécessite généralement pas autant de temps de transfert qu’une liste CRL complète.
Références supplémentaires
-
Spécifier les points de distribution de la liste de révocation de certificats
-
Configurer les périodes de chevauchement des listes de révocation de certificats et des listes de révocation de certificats delta
-
Planifier la publication de listes de révocation de certificats
-
Gérer la révocation de certificats
-
Configuration de services de répondeur en ligne sur un réseau