Configuration d'une méthode de révocation des certificats

Lorsque vous planifiez votre PKI privée Autorité de certification privée AWS, vous devez réfléchir à la manière de gérer les situations dans lesquelles vous ne souhaitez plus que les points de terminaison fassent confiance à un certificat émis, par exemple lorsque la clé privée d'un point de terminaison est révélée. Les approches les plus courantes pour résoudre ce problème consistent à utiliser des certificats de courte durée ou à configurer la révocation des certificats. Les certificats de courte durée expirent en si peu de temps, en heures ou en jours, que la révocation n'a aucun sens, le certificat devenant invalide à peu près au même moment qu'il faut pour informer un terminal de révocation. Cette section décrit les options de révocation pour les Autorité de certification privée AWS clients, y compris la configuration et les meilleures pratiques.

Les clients qui recherchent une méthode de révocation peuvent choisir le protocole OCSP (Online Certificate Status Protocol), les listes de révocation de certificats (CRL) ou les deux.

Note

Si vous créez votre autorité de certification sans configurer la révocation, vous pourrez toujours la configurer ultérieurement. Pour plus d’informations, consultez Mettre à jour votre CA privée.

• Protocole d'état des certificats en ligne (OCSP)

  Autorité de certification privée AWS fournit une solution OCSP entièrement gérée pour informer les points de terminaison que les certificats ont été révoqués sans que les clients aient à exploiter eux-mêmes l'infrastructure. Les clients peuvent activer l'OCSP sur des autorités de certification nouvelles ou existantes en une seule opération à l'aide de la Autorité de certification privée AWS console, de l'API, de la CLI ou via AWS CloudFormation. Alors que les CRL sont stockées et traitées sur le terminal et peuvent devenir obsolètes, les exigences de stockage et de traitement OCSP sont gérées de manière synchrone sur le backend du répondeur.

  Lorsque vous activez l'OCSP pour une autorité de certification, Autorité de certification privée AWS incluez l'URL du répondeur OCSP dans l'extension Authority Information Access (AIA) de chaque nouveau certificat émis. L'extension permet aux clients tels que les navigateurs Web d'interroger le répondeur et de déterminer si un certificat d'entité finale ou d'autorité de certification subordonnée est fiable. Le répondeur renvoie un message d'état signé cryptographiquement pour garantir son authenticité.

  Le répondeur Autorité de certification privée AWS OCSP est conforme à la RFC 5019.

  Considérations relatives à l'OCSP

  • Les messages d'état OCSP sont signés à l'aide du même algorithme de signature que celui pour lequel l'autorité de certification émettrice a été configurée. Les autorités de certification créées dans la Autorité de certification privée AWS console utilisent l'algorithme de signature SHA256WITHRSA par défaut. Les autres algorithmes pris en charge sont disponibles dans la documentation de CertificateAuthorityConfigurationl'API.

  • Les modèles de certificats APIPassthrough et CSRPassthrough ne fonctionneront pas avec l'extension AIA si le répondeur OCSP est activé.

  • Le point de terminaison du service OCSP géré est accessible sur l'Internet public. Les clients qui veulent un OCSP mais préfèrent ne pas avoir de point de terminaison public devront exploiter leur propre infrastructure OCSP.

• Listes de révocation de certificats (CRL)

  Une CRL contient une liste de certificats révoqués. Lorsque vous configurez une autorité de certification pour générer des CRL, Autorité de certification privée AWS incluez l'extension CRL Distribution Points dans chaque nouveau certificat émis. Cette extension fournit l'URL de la CRL. L'extension permet aux clients tels que les navigateurs Web d'interroger la CRL et de déterminer si un certificat d'entité finale ou de CA subordonné est fiable.

Comme un client doit télécharger les CRL et les traiter localement, leur utilisation est plus gourmande en mémoire que l'OCSP. Les CRL peuvent consommer moins de bande passante réseau car la liste des CRL est téléchargée et mise en cache, par rapport à l'OCSP qui vérifie l'état de révocation à chaque nouvelle tentative de connexion.

Note

L'OCSP et les CRL présentent un certain délai entre la révocation et la disponibilité du changement de statut.

• Les réponses OCSP peuvent prendre jusqu'à 60 minutes pour refléter le nouveau statut lorsque vous révoquez un certificat. En général, l'OCSP a tendance à accélérer la distribution des informations de révocation car, contrairement aux CRL qui peuvent être mises en cache par les clients pendant des jours, les réponses OCSP ne sont généralement pas mises en cache par les clients.

• Une liste de révocation de certificats est généralement mise à jour environ 30 minutes après la révocation d'un certificat. Si, pour une raison quelconque, une mise à jour de la CRL échoue, Autorité de certification privée AWS effectuez de nouvelles tentatives toutes les 15 minutes.

Exigences générales relatives aux configurations de révocation

Les exigences suivantes s'appliquent à toutes les configurations de révocation.

• Une configuration désactivant les CRL ou OCSP doit contenir uniquement le paramètre Enabled=False et échouera si d'autres paramètres tels que CustomCname ou ExpirationInDays sont inclus.

• Dans une configuration CRL, le S3BucketName paramètre doit être conforme aux règles de dénomination des compartiments Amazon Simple Storage Service.

• Une configuration contenant un paramètre de nom canonique (CNAME) personnalisé pour les CRL ou les OCSP doit être conforme aux restrictions de la RFC7230 relatives à l'utilisation de caractères spéciaux dans un CNAME.

• Dans une configuration CRL ou OCSP, la valeur d'un paramètre CNAME ne doit pas inclure de préfixe de protocole tel que « http:// » ou « https:// ».

Rubriques

• Planification d'une liste de révocation de certificats (CRL)
• Configuration d'une URL personnalisée pour Autorité de certification privée AWS OCSP