L’authentification basée sur des certificats consiste à vérifier l’authenticité d’un certificat (son identité, sa date d’expiration, son AC d’émission et son statut de révocation) auprès d’une autorité de validation pour s’assurer de la fiabilité du certificat. Si le certificat peut prouver son identité, il est validé.
Révoquez la validité de vos certificats pour maintenir la sécurité de vos IoT
Les certificats d’IoT ont des périodes de validité ou des espérances de vie censées aller jusqu’à leur terme. Il arrive cependant qu’il faille révoquer un certificat avant sa date d’expiration programmée. Plusieurs raisons peuvent motiver cette décision :
- Retrait d’un appareil avant l’expiration de son certificat
- Changement de nom de l’entreprise ou de la ligne de produits
- Perte ou vol d’une clé constituant un risque de compromission de la sécurité
LRC ou OCSP : des méthodes d’authentification pour garantir la validité de vos certificats
Lorsqu’une révocation de certificat est nécessaire, l’Autorité de validation des IoT de GlobalSign révoque le « bon état » du certificat soit à l’aide d’une liste de révocation de certificats (LRC) — en anglais CRL, Certificate Revocation List — ou du protocole de statut de certificat en ligne (OCSP, Online Certificate Status Protocol).
Une LRC est un registre des certificats numériques ayant été révoqués par l’Autorité de certification (AC) émettrice. Mis à jour à intervalles réguliers, ce registre fonctionne comme une liste noire. Les requêtes GET sont faites au serveur de liste de GlobalSign, qui renvoie la liste des certificats révoqués. Si le certificat en question figure sur la liste LRC, il ne pourra pas être authentifié et ne pourra être jugé fiable.
Le protocole OCSP est une méthode de validation de certificat plus dynamique qui détermine l’état d’un certificat numérique à un moment donné, sans avoir besoin de liste LRC. Les applications ou clients OCSP déposent leurs appels sur notre répondeur OCSP géré qui vérifie et confirme les informations du certificat, et répond immédiatement pour confirmer ou invalider l’authentification du certificat.