Discussion :

[Invité]

Bonjour à tous !

Voici le contexte de ma question :

J'ai une BDD contenant des certificats et une application java qui se sert d'un LDAP pour vérifier si les certificats sont valables ou non.

Prenons l'exemple d'une validation de chaine de certificats :
J'ai "Root" et "Intermediate" qui sont dans ma BDD et j'ai "End" qui est dans LDAP, "Root" qui est dans LDAP avec une CRL contenant "End". Si j'essaye de valider cette chaîne, j'obtiens une erreur qui m'indique qu'aucune CRL a été trouvé pour le certificat "Intermediate".

En revanche si en plus je place "Intermediate" dans LDAP avec une CRL vide et que j'essaye de valider ma chaîne, cette fois la validation ne marche pas et j'obtiens une erreur correcte m'indiquant que le certificat "End" est révoqué.

Pour valider ma chaîne j'utilise les certificats suivants :
Root (de ma BDD) <-- Intermediate (de ma BDD) <-- End (de LDAP)

Est on obligé de placé la chaîne complète dans LDAP ? Ne peut on pas placer uniquement le certificat invalide et le root ?

Merci de vos réponses !

[Invité]

Salut,
Toutes les CA doivent avoir une CRL publiée et accessible quelque part, même si elle est vide.
La PKI vérifie les CRL de toutes les CA intermédiaires.
Imagine, ton End a été généré et signé par Intermediate, puis révoique ton certificat (normal elle l'a créé, donc souvent elle le gère). Si tu ne fournis pas de CRL, tu ne vérifies que Root, et tu en conclues que ton certificat est valide (vu que c'est Inertmediate qui l'a révoqué...).
Donc oui, il faut que TOUTES les CA intermédiaires aient une CRL publiée et accessible, même si celle ci est vide.