Une spécialiste de la Poste Suisse pour la sécurité des données

Section générale

Que signifie le terme révocation?

La révocation est le processus qui rend un certificat invalide ou le bloque. Les certificats révoqués figurent sur des listes de révocation appelées Certificate Revocation Lists (CRL). Les CRL sont publiées périodiquement par l’autorité de certification (CA). La révocation d’un certificat (immédiatement après le blocage) est également indiquée via le protocole OCSP (Online Certificate Status Protocol). Les CRL et les OCSP sont accessibles au public, mais seul le numéro de série du certificat bloqué est publié.

 

Si un certificat de chiffrement est révoqué, il est très important que vous conserviez la clé privée correspondante. Elle vous sera indispensable pour décrypter les données que vous avez codées avec cet ancien certificat ou ce certificat révoqué. Si un certificat de signature est révoqué, vous pouvez détruire la clé privée, car vous ne pourrez plus l’utiliser pour une signature numérique valable.

Les certificats révoqués sont-ils supprimés de la liste de révocation (CRL) au bout d’un certain temps?

Cela dépend du type de certificat:

  • Les certificats SSL/TLS et les certificats de courriel révoqués sont supprimés de la Certificate Revocation List (CRL) une fois la période de validité normale expirée.
  • Les certificats révoqués pour les documents de signature continuent à figurer sur la CRL même après la date d’échéance indiquée sur le certificat. Pour la validation de la signature, il est important de savoir si le certificat était encore valable à la date de la signature.
Puis-je tester un certificat et serai-je remboursé-e si le certificat est révoqué?

En vertu des conditions générales en vigueur, les clients ou partenaires n’ont en principe droit à un aucun remboursement ou crédit. Si tel est le cas, il s’agit donc toujours d’une concession de la part de SwissSign.

Nous faisons actuellement les gestes commerciaux suivants:

Tous les clients peuvent demander un remboursement du certificat émis dans un délai de 30 jours.

À partir de 30 jours après l'émission du certificat, un crédit équivalent à la durée résiduelle du certificat concerné leur sera attribué.

Attention: Tout certificat révoqué par le client lui-même sans contact préalable avec notre support concernant une demande de remboursement ne donne pas droit à un remboursement ou à un crédit.

Révocation, nullité – que dois-je faire?

Raisons qui peuvent entraîner la révocation ou la nullité d’un certificat:

  •  L’utilisateur a oublié le mot de passe de sa clé privée.
  •  La clé est corrompue (voir également le point «Signaler un Key Compromise»).
  •  Les indications fournies dans le certificat ne sont plus valables (par exemple, l’adresse e-mail ou le fait que vous ne fassiez plus partie de l’organisation).

Un certificat peut être révoqué tant par son propriétaire que par l’autorité de certification. Pour ce qui est des certificats de courriel avec inscription de la société, l’organisation concernée peut elle aussi demander la révocation.

Les certificats SwissSign peuvent être révoqués de trois manières différentes:

  1. Révocation en ligne: possible si vous avez demandé le certificat via un compte utilisateur technique sur swisssign.net.
  2. Révocation en ligne: vous pouvez révoquer des certificats en ligne sur swisssign.net si vous possédez encore la clé privée ou le code nécessaire à cet effet. Vous avez reçu le code dans l’e-mail d’approbation de ce certificat. Veuillez consulter la page swisssign.net et entrer dans le champ de recherche «Licence» votre numéro de licence pour le certificat que vous avez reçu lors de votre achat. Le certificat est affiché. Vous pouvez maintenant révoquer le certificat avec le code de révocation de l’e-mail d’approbation en cliquant sur le bouton «Révoquer».
  3. Révocation hors ligne: le formulaire de révocation hors ligne (PDF) est à votre disposition.
Durées et révocation

Technical terms and contractual terms

A certificate has a specific validity period (technical term). For the Managed PKI service, this is independent of the commercial contractual term (service period). Certificates can therefore be issued during the service period whose validity extends well beyond the end of the service period. The contract is open-ended and can be terminated at the end of the one-year service period with notice of three months.


Revocation with re-issue

Certificate revocation and subsequent re-issue (e.g. change of employee) is considered to be a single certificate.


Revocation – contract termination

At the end of the contract, any certificates that are still valid will be withdrawn, either by you or by our support team. To do this, please contact: contracts@swisssign.com or call +41 848 77 66 55.

Qui peut révoquer le certificat? L’entreprise ou seulement le propriétaire du certificat?

Les deux.

Signaler un Key Compromise

Si un Key Compromise est constaté, il est important de révoquer le certificat immédiatement et de signaler cet incident à SwissSign.

S’il s’agit de l’un de vos propres certificats:

  1. Boutique: si le certificat a été commandé dans la boutique, veuillez suivre les instructions ci-dessus.
  2. MPKI: dans le cas d’un MPKI, vous pouvez révoquer vous-même le certificat correspondant avec votre accès MPKI.

 

S’il s’agit d’un certificat étranger, veuillez suivre les étapes ci-dessous.

  • Dans la mesure du possible, informezen le titulaire du certificat.
  • Envoyeznous un courriel avec les points suivants à l’adresse électronique keycompromise@swisssign.com:

1) L’e-mail doit contenir l’objet suivant:

«Key compromise SwissSign certificate»

2) L’e-mail doit contenir les éléments suivants dans le corps du message (pas en tant que pièces jointes):

a) Certificat affecté (encodé en base64/PEM)

b) Certificate Signing Request (CSR) signée avec la clé privée concernée. Le CSR contient le Common Name (CN) «Key compromise SwissSign certificate» (encodé en base64/PEM, tous les autres champs du CSR peuvent avoir des valeurs arbitraires)

c) Le cas échéant, les coordonnées du demandeur en plus de l’adresse e-mail