4.15.1 Causes de révocation
Un certificat CDS de classe 3 doit être révoqué et son numéro de série doit être inscrit sur une liste de certificats révoqués (LCR), si l'une des circonstances suivantes est identifiée :
les informations de l'abonné figurant dans son certificat ont changé, avant l'expiration « normale » du certificat ;
les règles d'utilisation du certificat ne sont pas respectées ;
la clé privée de l'abonné est suspectée de compromission, de perte ou de vol ;
l'abonné en fait lui-même la demande ;
le certificat de l'AC est révoqué (ce qui entraîne la révocation de tous les certificats signés par la clé privée correspondante) ;
l'organisation a cessé son activité ;
une modification de longueur de clé ou d'algorithme (signature et/ou hachage) est demandée à la suite d'une recommandation d'une organisation nationale ou internationale appropriée ;
du fait de la modification du nom de l'organisation, le contact technique n'est plus autorisé à utiliser le nom de domaine ;
le ND figurant sur le certificat est erroné ;
le contact technique a utilisé un ND erroné dans la demande initiale ;
la fin de la relation entre l'AC et le client.
4.15.2 Origine de la demande de révocation
Les seules entités habilitées à demander une révocation ou à révoquer un certificat CDS délivré par OpenTrust sont :
- le représentant de l'organisation ; - le contact technique ;
- l'Autorité d'Enregistrement ;
- OpenTrust et l'Autorité de Politique d'Adobe.
4.15.3 Procédure et traitement d'une demande de révocation de certificat en ligne
Le service en ligne est mis à la disposition du demandeur 24 heures sur 24 et sept jours sur sept pour lui permettre de révoquer son certificat dans les meilleurs délais. Les abonnés se connectent au site de l'AC et peuvent révoquer leur certificat en spécifiant leur adresse électronique et le code de retrait et de révocation qui leur a été communiqué au moment de la signature d'une révocation. Les demandes doivent contenir des informations d'identification du certificat et de son titulaire.
4.15.4 Procédure et traitement d'une demande de révocation de certificat hors ligne
Le service hors ligne est mis à la disposition des abonnés ou de leur représentant, tous les jours ouvrés, de 9h à 17h. La révocation se fait à l'aide du code de retrait et de révocation de l'abonné ou du code de révocation du représentant.
Le contact technique ou l'AE envoie une demande de révocation à l'AE d’OpenTrust, en indiquant au moins les informations suivantes :
son identification personnelle ;
les données « secrètes » qu'il a envoyées lors de la demande du certificat qu'il souhaite révoquer.
L'AE d’OpenTrust authentifie la demande de révocation autorisée et la transmet à l'AC. L'AC authentifie l'AE et révoque le certificat en activant sa clé de signature privée.
À des fins de protection, les informations émanant de l'AE sont envoyées à l'AC via une ligne sécurisée.
Toutes les opérations de révocation de certificats sont protégées de façon à garantir l'intégrité, la confidentialité (si nécessaire) et l'origine des données envoyées et traitées.
Le contact technique est avisé du changement d'état de validité de son certificat. Une fois révoqué, le certificat n'est pas re-certifié.
4.15.5 Période de grâce d'une demande de révocation
Il n'est accordé aucune période de grâce à l'abonné avant la révocation et OpenTrust procédera à la révocation du certificat CDS le jour ouvrable suivant, en annonçant la révocation dans la prochaine LCR publiée.
4.15.6 Causes de suspension Il n'existe pas de suspension.
4.15.7 Origine de la demande de suspension Aucune disposition.
4.15.8 Procédure de la demande de suspension Aucune disposition.
4.15.9 Limites relatives à la période de suspension Aucune disposition.
4.15.10 Fréquence de publication des LCR
Les LCR font l'objet d'une publication quotidienne, avec une période de validité de sept jours.
4.15.11 Exigence de contrôle des AR/LCR
Les parties utilisatrices doivent récupérer les LAR/LCR au moins toutes les 24 heures, avant de faire confiance à un document signé à l'aide d'un identifiant numérique CDS, excepté pour les identifiants numériques CDS délivrés aux fins des services d'horodatage.
4.15.12 Vérification en ligne du statut de révocation
L'OCSP est un protocole permettant d'obtenir des renseignements opportuns au sujet du statut de révocation d'un certificat CDS, lorsque la signature et/ou la validation en ligne sont effectuées via certains produits Adobe. Les demandes OCSP contiennent les données suivantes :
- la version du protocole ; - la demande de service ; - l'identifiant du certificat cible.
Si un certificat CDS contient une extension OCSP, certains produits Adobe peuvent établir une demande OCSP en utilisant l'OID : 1.2.840.113583.1.1.9.2 qui est contenu dans le certificat CDS.
4.15.13 Exigences de vérification en ligne des révocations
Le message de réponse OCSP définitif comprend les données suivantes : - la version de la syntaxe de réponse ;
- le nom de l'appelé ;
- les réponses à chacun des certificats d'une demande ; - la signature calculée par hachage de la réponse.
L'adresse de l'appelé OCSP est URL = http://k-valid.opentrust.com/ds-server/process. Le certificat utilisé pour signer la réponse OCSP est délivré par la Sous-AC KEYNECTIS-CDS.
4.15.14 Autres moyens disponibles d'information sur les révocations Aucune disposition.
4.15.15 Exigences de vérification d'autres moyens d'information sur les révocations Aucune disposition.
4.15.16 Exigences spécifiques en cas de compromission de la clé
En cas de compromission de la clé privée de l'AC KEYNECTIS-CDS, utilisée pour signer un certificat CDS, OpenTrust informera par e-mail, dans les plus brefs délais possibles, tous les abonnés en possession de certificats CDS délivrés à partir de cette clé privée, que les certificats CDS seront révoqués le jour ouvrable suivant et que la publication de cette révocation dans la LCR appropriée vaudra notification à l'abonné de la révocation de son certificat CDS.