Révocation de certificats SSL/TLS | SwissSign
Une spécialiste de la Poste Suisse pour la sécurité des données

Section générale

Révocation de certificats SSL/TLS – rétablir la sécurité en cas d’urgence

La révocation est le processus consistant à invalider prématurément un certificat SSL/TLS ou S/MIME (blocage). Découvrez ici pourquoi cette étape est parfois indispensable et comment renouveler vos certificats de manière sûre et rapide avec SwissSign.

Que signifie le terme «révocation»?

La révocation d’un certificat est le processus d’invalidation ou de blocage d’un certificat SSL/TLS valide avant l’expiration de sa durée de validité. Un certificat peut être révoqué tant par son propriétaire que par l’autorité de certification (Certificate Authority, CA). Pour ce qui est des certificats d’e-mail avec inscription de la société, l’organisation concernée peut elle aussi demander la révocation.

Les révocations sont publiées dans des listes de révocation de certificats (Certificate Revocation Lists, CRL) ou affichées via OCSP (Online Certificate Status Protocol).

Exemples:

  • L’utilisateur a oublié le mot de passe de sa clé privée.
  • La clé est corrompue (voir également le point «Signaler un Key Compromise»).
  • Les indications fournies dans le certificat ne sont plus valables (p. ex. l’adresse e-mail, si vous ne faites plus partie de l’organisation ou en cas de changement de nom de l’organisation).
  • Erreur de délivrance (Mis-Issuance): les certificats ne répondaient pas aux exigences formelles du CA / Browser Forum lors de leur émission ou contiennent des informations erronées sur le titulaire du certificat (p. ex. nom du service au lieu du nom d’une personne).

 

Vous devez révoquer un certificat?

Trois possibilités s’offrent alors à vous:

  1. Révocation numérique: dans l’e-mail que vous avez reçu pour l’émission de votre certificat, vous trouverez également un lien qui vous permettra de le révoquer.
  2. Révocation en ligne dans votre Managed PKI: en tant qu’opérateur, vous pouvez facilement sélectionner et révoquer les certificats émis dans votre Managed PKI via le WebGUI. Un blocage est également possible via les interfaces automatisées.
  3. Révocation hors ligne: le formulaire de révocation hors ligne (PDF) est disponible à cet effet.

 

Révoquez impérativement vos certificats si…

La révocation doit toujours être effectuée lorsque la sécurité ou l’intégrité du certificat est menacée. Par exemple:

Après un piratage de serveur

  • Lorsqu'un collaborateur dont l'adresse e-mail est enregistrée dans le certificat quitte l'entreprise.
  • En cas de perte ou de vol du serveur ou de toute autre infrastructure liée à la sécurité À quoi faut-il faire attention après la révocation?
  • Remplacement du certificat: un nouveau certificat SSL/TLS doit être demandé et installé après la révocation.
  • Vérifier la configuration du serveur: assurez-vous que le nouveau certificat est installé correctement.

 

Automatisation et protection contre les problèmes futurs

La Managed Public Key Infrastructure (MPKI) de SwissSign vous permet d’automatiser la gestion des certificats et de minimiser les risques tels que la perte de clés ou les certificats erronés.

Découvrez notre solution MPKI pour une gestion sûre et efficace des certificats

Questions et réponses

Qui peut révoquer le certificat? L’entreprise ou seulement le propriétaire du certificat?

Les deux.

Signaler un Key Compromise

Si un Key Compromise est constaté, il est important de révoquer le certificat immédiatement et de signaler cet incident à SwissSign.

S’il s’agit de l’un de vos propres certificats:

  1. Boutique: si le certificat a été commandé dans la boutique, veuillez suivre les instructions ci-dessus.
  2. MPKI: dans le cas d’un MPKI, vous pouvez révoquer vous-même le certificat correspondant avec votre accès MPKI.

S’il s’agit d’un certificat étranger, veuillez suivre les étapes ci-dessous.

  • Dans la mesure du possible, informezen le titulaire du certificat.
  • Envoyeznous un courriel avec les points suivants à l’adresse électronique [email protected]:

1) L’e-mail doit contenir l’objet suivant:

«Key compromise SwissSign certificate»

2) L’e-mail doit contenir les éléments suivants dans le corps du message (pas en tant que pièces jointes):

a) Certificat affecté (encodé en base64/PEM)

b) Certificate Signing Request (CSR) signée avec la clé privée concernée. Le CSR contient le Common Name (CN) «Key compromise SwissSign certificate» (encodé en base64/PEM, tous les autres champs du CSR peuvent avoir des valeurs arbitraires)

c) Le cas échéant, les coordonnées du demandeur en plus de l’adresse e-mail

Durées et révocation

Technical terms and contractual terms

A certificate has a specific validity period (technical term). For the Managed PKI service, this is independent of the commercial contractual term (service period). Certificates can therefore be issued during the service period whose validity extends well beyond the end of the service period. The contract is open-ended and can be terminated at the end of the one-year service period with notice of three months.

Revocation with re-issue

Certificate revocation and subsequent re-issue (e.g. change of employee) is considered to be a single certificate.

Revocation – contract termination

At the end of the contract, any certificates that are still valid will be withdrawn, either by you or by our support team. To do this, please contact: [email protected] or call +41 848 77 66 55.

Les certificats révoqués sont-ils supprimés de la liste de révocation (CRL) au bout d’un certain temps?

Cela dépend du type de certificat:

  • Les certificats SSL/TLS et les certificats de courriel révoqués sont supprimés de la Certificate Revocation List (CRL) une fois la période de validité normale expirée.
  • Les certificats révoqués pour les documents de signature continuent à figurer sur la CRL même après la date d’échéance indiquée sur le certificat. Pour la validation de la signature, il est important de savoir si le certificat était encore valable à la date de la signature.

Puis-je tester un certificat et serai-je remboursé-e si le certificat est révoqué?

En vertu des conditions générales en vigueur, les clients ou partenaires n’ont en principe droit à un aucun remboursement ou crédit. Si tel est le cas, il s’agit donc toujours d’une concession de la part de SwissSign.

Nous faisons actuellement les gestes commerciaux suivants:

Tous les clients peuvent demander un remboursement du certificat émis dans un délai de 30 jours.

À partir de 30 jours après l'émission du certificat, un crédit équivalent à la durée résiduelle du certificat concerné leur sera attribué.

Attention: Tout certificat révoqué par le client lui-même sans contact préalable avec notre support concernant une demande de remboursement ne donne pas droit à un remboursement ou à un crédit.