Révocation de certificat (4/9)

• Disponibilité des CRL
  • Nécessité d'indiquer, sur un certificat X.509 destiné à être utilisé, l'URL de la liste de révocation relative au certificat
  • Ajout d'une extension X509v3 au certificat : cRLDistributionPoints (CRLDP)
    • Association au certificat de la liste de révocation dont il dépend
    • Client qui n'a pas à connaître, au préalable, l'intégralité des adresses où télécharger les CRL relatives à une autorité signataire pour une famille de certificats donnée
    • Permet une stratégie de partitionnement des CRL
      • Limitation du nombre de certificats émis portant des CRLDP identiques
      • Lutte contre la taille croissante des listes de révocation émises
  • • Protocoles de distribution utilisés
      • HTTP
      • LDAP
        • Mais à quel annuaire se connecter ?