web-dev-qa-db-fra.com

Définitions des motifs CRL

Existe-t-il une définition faisant autorité des différentes raisons possibles dans un fichier CRL? Section 6.3.2 (b) de la RFC528 en énumère quelques-uns:

  • non spécifié
  • keyCompromise
  • cACompromise
  • affiliationChanged
  • remplacé
  • cessationOfOperation
  • certificateHold
  • removeFromCRL
  • privilège Retiré
  • aACompromise

J'ai regardé et regardé et je ne trouve aucune explication fiable de ce que ces statuts signifient chacun techniquement et je ne veux pas simplement supposer leur signification étant donné la façon dont la raison est formulée.

9
Bratchley

[Avis de non-responsabilité: je travaille en tant que développeur de logiciels sur le logiciel qui alimente l'une des autorités de certification publiques de confiance et de nombreuses PKI internes de l'entreprise]

tl; dr: à ma connaissance, il n'y a pas de directives formelles pour quelle raison de révocation doit être utilisée dans quelle situation, c'est à la discrétion de l'administrateur ou de l'opérateur de chaque AC.

En règle générale, les révocations de certificats sont effectuées par des humains qui doivent choisir l'une de ces raisons de révocation dans un menu déroulant de l'interface graphique. Cela signifie que le choix du compartiment dans lequel un cas Edge se situe peut varier d'une organisation/autorité de certification à l'autre, ou peut être entièrement à la discrétion du responsable informatique qui révoque le certificat pour votre badge d'identification, votre accès à la messagerie électronique, votre serveur Web, wtv.

Dans les CA Windows Active Directory d'entreprise:

J'ai trouvé n très ancien article de Microsoft donnant une description textuelle de chaque raison - recherchez "Raisons de révocation" sur la page. (Microsoft a créé un logiciel d'autorité de certification dans le cadre de la suite Active Directory, je suppose donc qu'il s'agit de la documentation d'accompagnement destinée aux administrateurs de domaine Windows). Voir l'annexe A en bas pour la liste complète.

Dans l'Internet public TLS PKI

Le CA/Browser Forum (CAB Forum) dicte la politique sur la façon dont les CA et les navigateurs de confiance publique doivent se comporter en ce qui concerne les certificats. Voici le Exigences de base du CA/Browser Forum pour l'émission et la gestion des certificats de confiance publique, v.1.2.5, avril 2015 . Si vous passez à la section 13.1.5 Raisons de révoquer un certificat d'abonné (voir l'annexe B ci-dessous), il existe une liste de situations dans lesquelles l'autorité de certification est tenue de révoquer un certificat, mais aucune mention de quel code raison ils sont censés utiliser.

tl; dr encore: à ma connaissance, il n'y a pas de directives formelles pour quelle raison de révocation doit être utilisée dans quelle situation, c'est à la discrétion de l'administrateur ou de l'opérateur de chaque AC.


Annexe A: quelques conseils de Microsoft sur quand utiliser chaque raison de révocation:

  • KeyCompromise. L'emplacement du jeton ou du disque où la clé privée associée au certificat a été compromise et est en possession d'une personne non autorisée. Cela peut inclure le cas où un ordinateur portable est volé ou une carte à puce est perdue.
  • CACompromise. L'emplacement du jeton ou du disque sur lequel la clé privée de l'autorité de certification est stockée a été compromis et est en possession d'une personne non autorisée. Lorsque la clé privée d'une autorité de certification est révoquée, tous les certificats émis par l'autorité de certification signés à l'aide de la clé privée associée au certificat révoqué sont considérés comme révoqués.

  • AffiliationChanged. L'utilisateur a mis fin à sa relation avec l'organisation indiquée dans l'attribut Nom distinctif du certificat. Ce code de révocation est généralement utilisé lorsqu'une personne est licenciée ou a démissionné d'une organisation. Vous n'êtes pas obligé de révoquer un certificat lorsqu'un utilisateur change de service, sauf si votre stratégie de sécurité exige qu'un certificat différent soit émis par une autorité de certification départementale.

  • Remplacé. Un certificat de remplacement a été délivré à un utilisateur et le motif ne correspond pas aux motifs précédents. Cette raison de révocation est généralement utilisée lorsqu'une carte à puce échoue, le mot de passe pour un jeton est oublié par un utilisateur ou l'utilisateur a changé son nom légal.

  • CessationOfOperation. Si une autorité de certification est mise hors service et ne doit plus être utilisée, le certificat de l'autorité de certification doit être révoqué avec ce code anomalie. Ne révoquez pas le certificat de l'autorité de certification si l'autorité de certification n'émet plus de nouveaux certificats, mais publie toujours des listes de révocation de certificats pour les certificats actuellement émis.

  • CertificateHold. Une révocation temporaire qui indique qu'une autorité de certification ne garantira pas un certificat à un moment précis. Une fois qu'un certificat est révoqué avec un code motif CertificateHold, le certificat peut ensuite être révoqué avec un autre code motif, ou non révoqué et renvoyé à l'utilisation.

    Remarque: Bien que CertificateHold permette à un certificat d'être "non révoqué", il n'est pas recommandé de suspendre un certificat, car il devient difficile de déterminer si un certificat était valide pour une période spécifique.

  • RemoveFromCRL. Si un certificat est révoqué avec le code anomalie CertificateHold, il est possible de "révoquer" un certificat. Le processus de révocation répertorie toujours le certificat dans la liste de révocation de certificats, mais avec le code anomalie défini sur RemoveFromCRL.

    Remarque: Ceci est spécifique à la raison CertificateHold et n'est utilisé que dans les DeltaCRL.

  • Non spécifié. Il est possible de révoquer un certificat sans fournir de code motif spécifique. Bien qu'il soit possible de révoquer un certificat avec le code anomalie non spécifié, cela n'est pas recommandé, car il ne fournit pas de piste d'audit expliquant pourquoi un certificat est révoqué.


Annexe B: 13.1.5 Raisons pour révoquer un certificat d'abonné de Exigences de base de CA/Browser Forum pour l'émission et la gestion de certificats de confiance publique, v.1.2.5, avril 2015 :

Exigences de base de CA/Browser Forum pour l'émission et la gestion de certificats de confiance publique, v.1.2.5, avril 2015Exigences de base de CA/Browser Forum pour l'émission et la gestion de publicly- Certificats de confiance, v.1.2.5, avril 2015 :

  1. L'Abonné demande par écrit que l'AC révoque le Certificat;

  2. L'abonné informe l'AC que la demande de certificat d'origine n'a pas été autorisée et n'accorde pas rétroactivement l'autorisation;

  3. L'AC obtient la preuve que la clé privée de l'abonné correspondant à la clé publique dans le certificat a subi un compromis de clé (voir également la section 10.2.4) ou ne satisfait plus aux exigences de l'annexe A;

  4. L'AC obtient la preuve que le certificat a été mal utilisé;

  5. L'AC est informée qu'un abonné a violé une ou plusieurs de ses obligations importantes en vertu de l'abonné ou des conditions d'utilisation;

  6. L'AC est informée de toute circonstance indiquant que l'utilisation d'un nom de domaine complet ou d'une adresse IP dans le certificat n'est plus autorisée par la loi (par exemple, un tribunal ou un arbitre a révoqué le droit d'un titulaire de nom de domaine d'utiliser le nom de domaine, un l'accord de licence ou de services entre le titulaire du nom de domaine et le demandeur a pris fin, ou le titulaire du nom de domaine n'a pas renouvelé le nom de domaine);

  7. L'AC est informée qu'un certificat générique a été utilisé pour authentifier un nom de domaine subalterne entièrement qualifié frauduleusement trompeur;

  8. L'AC est informée d'un changement important dans les informations contenues dans le certificat;

  9. L'AC est informée que le certificat n'a pas été délivré conformément à ces exigences ou à la politique de certification ou à l'énoncé des pratiques de certification de l'AC;

  10. L'AC détermine que toute information apparaissant dans le certificat est inexacte ou trompeuse;

  11. L'AC cesse ses activités pour quelque raison que ce soit et n'a pas pris de dispositions pour qu'une autre AC fournisse un support de révocation pour le certificat;

  12. Le droit de l'AC de délivrer des certificats en vertu de ces exigences expire ou est révoqué ou résilié, sauf si l'AC a pris des dispositions pour continuer à maintenir le référentiel CRL/OCSP;

  13. L'AC est informée d'un éventuel compromis sur la clé privée de l'AC subordonnée utilisée pour l'émission du certificat;

  14. La révocation est requise par la politique de certification et/ou l'énoncé des pratiques de certification de l'AC; ou

  15. Le contenu technique ou le format du certificat présente un risque inacceptable pour les fournisseurs de logiciels d'application ou les parties utilisatrices (par exemple, le CA/Browser Forum peut déterminer qu'un algorithme de cryptographie/signature ou une taille de clé obsolète présente un risque inacceptable et que ces certificats doivent être révoqués et remplacés par des AC dans un délai donné).

9
Mike Ounsworth

Dans IT-T-X.509-20121 , ils sont expliqués dans la section 8.5.3.1 (Extension du code de motif) comme suit:

- non spécifié peut être utilisé pour révoquer des certificats pour des raisons autres que les codes spécifiques.

- keyCompromise est utilisé pour révoquer un certificat d'entité finale; il indique que l'on sait ou soupçonne que la clé privée du sujet ou d'autres aspects du sujet validés dans le certificat ont été compromis.

- cACompromise est utilisé pour révoquer un certificat CA; il indique que l'on sait ou soupçonne que la clé privée du sujet ou d'autres aspects du sujet validés dans le certificat ont été compromis.

- affiliationChanged indique que le nom du sujet ou d'autres informations dans le certificat ont été modifiés mais il n'y a aucune raison de soupçonner que la clé privée a été compromise.

- remplacé indique que le certificat a été remplacé mais il n'y a aucune raison de soupçonner que la clé privée a été compromise.

- cessationOfOperation indique que le certificat n'est plus nécessaire aux fins pour lesquelles il a été émis, mais il n'y a aucune raison de soupçonner que la clé privée a été compromise .

- privilegeWithdrawn indique qu'un certificat (certificat de clé publique ou d'attribut) a été révoqué car un privilège contenu dans ce certificat a été retiré.

- aACompromise indique qu'il est connu ou suspecté que des aspects de l'AA validés dans le certificat d'attribut ont été compromis.

Et ils expliquent également le maintien et le retrait; mais hold signifie simplement "temporairement révoqué" et "remove" est placé sur les delta-CRL pour dire "euh, cette suspension a été annulée". Selon X.509, la liste de révocation de certificats "complète" suivante ne listera tout simplement plus le certificat.

Il est également à noter que techniquement, cette extension est entièrement facultative. Les RFC 3280 et 5280 indiquent qu'une autorité de certification conforme "DEVRAIT" fournir le code anomalie. X.509 a très peu de choses à dire sur son utilisation, mais sur ce qu'il signifie s'il a été utilisé.

5
bartonjs