Savoir qu’un certificat a été révoqué n’est utile que si vous pouvez réellement le vérifier. Que ce soit pour résoudre un TLS , pour auditer l’infrastructure de révocation de votre autorité de certification (CA) ou pour valider l’état d’un certificat dans un pipeline CI/CD, la capacité à localiser, télécharger et examiner une liste de révocation de certificats (CRL) constitue une PKI fondamentale PKI .
Ce guide vous accompagne à chaque étape : identification du point de distribution de la liste CRL (CDP) dans un certificat, téléchargement et lecture de la liste CRL à l'aide d'OpenSSL, de Windows et EJBCA, ainsi que l'interprétation des résultats. Si vous avez d'abord besoin de bases théoriques, découvrezce qu'est une liste CRL.
Pourquoi il est important de savoir comment vérifier une liste CRL
La vérification des listes de révocation de certificats (CRL) constitue une étape essentielle dans toute transaction PKI, car elle permet de vérifier l'identité du propriétaire du site et de déterminer si le certificat associé est fiable. Si vous ne pouvez pas confirmer qu'un certificat est toujours valide, vous ne pouvez pas faire confiance à la connexion qu'il sécurise.
Pour PKI , cela implique de maîtriser la vérification des révocations au niveau opérationnel, et pas seulement sur le plan conceptuel. Pour les ingénieurs DevOps chargés d'intégrer la validation des certificats dans des flux de travail automatisés, cela signifie savoir quelles commandes exécuter, à quels résultats s'attendre et comment réagir en fonction de ces résultats.
Pour mieux comprendre les différences entre les CRL et l'OCSP, ainsi que les cas d'utilisation de chacune de ces technologies, consultez l'article «Liste de révocation de certificats (CRL) vs Protocole de statut des certificats en ligne (OCSP) : ce qu'il faut savoir ». Pour un aperçu complet des CRL, consultez notre guide intitulé «Qu'est-ce qu'une liste de révocation de certificats ? ».
De quoi avez-vous besoin pour vérifier une liste CRL ?
Pour vérifier une liste CRL, vous avez besoin de deux éléments :
- L'URL de la liste de révocation (CRL).Elle figure dans l'extension « CRL Distribution Points » (Points de distribution des listes de révocation) du certificat que vous validez. Tout certificat X.509 prenant en charge la vérification des listes de révocation comprend une ou plusieurs URL CDP indiquant l'emplacement où l'autorité de certification émettrice publie sa liste de révocation.
- Un outil permettant de consulter la liste CRL.Parmi les options courantes, on peut citer OpenSSL (Linux/macOS), l'utilitaire certutil de Windows, la visionneuse de certificats intégrée à votre navigateur ou une interface d'administration d'autorité de certification telle EJBCA.
Comment trouver le point de distribution de la liste CRL dans un certificat
Avant de pouvoir télécharger une liste CRL, vous devez extraire l'URL du CDP du certificat. Voici comment procéder dans un navigateur et en command .
Comment trouver le CDP dans votre navigateur
Chrome et Edge :
- Accédez au site HTTPS dont vous souhaitez vérifier le certificat.
- Cliquez sur l'icône représentant un cadenas (ou une note de musique) dans la barre d'adresse.
- Sélectionnez «La connexion est sécurisée », puis cliquez sur «Le certificat est valide ».
- Dans la fenêtre d'affichage des certificats, ouvrez l'onglet «Détails».
- Faites défiler la page jusqu'au champ «Points de distribution des listes CRL». La valeur indiquée contient une ou plusieurs URL sur lesquelles l'autorité de certification publie ses listes CRL.
Firefox :6. Cliquez sur l'icône représentant un cadenas dans la barre d'adresse. 7. Sélectionnez «Connexion sécurisée », puis cliquez sur «Plus d'informations ». 8. Cliquez sur «Afficher le certificat ». 9. Dans les détails du certificat, recherchez le champ « Points de distribution CRL ». Firefox affiche les URL des listes CRL directement dans la fenêtre d'affichage du certificat.
Recherche du CDP à l'aide d'OpenSSL
Si vous disposez du certificat au format PEM, extrayez le fichier CDP à l'aide d'une seule command:
openssl x509 -in keyfactor-certificate.pem -noout -text | grep -A 4 "CRL Distribution Points" La sortie affiche la ou les URI sur lesquelles l'autorité de certification publie sa liste CRL. Par exemple :X509v3 CRL Distribution Points:
Full Name:
http://c.pki.goog/we1/KLRFxSqxaMw.crl
Copiez cette URL pour passer à l'étape suivante.
Comment télécharger et consulter une liste CRL
Téléchargement d'une liste CRL depuis le CDP
Une fois que vous disposez de l'URL du CDP, téléchargez le fichier CRL à l'aide de curl ou de wget :
curl -o crl.der http://c.pki.goog/we1/KLRFxSqxaMw.crl
Cependant, le plus simple est de coller directement l'URL dans votre navigateur Web : le fichier CRL se téléchargera alors automatiquement.
Les fichiers CRL sont généralement distribués au format DER (binaire). Si votre outil nécessite le format PEM, convertissez le fichier après l'avoir téléchargé :
openssl crl -in crl.der -inform DER -outform PEM -out crl.pem
Affichage du contenu d'un CRL avec OpenSSL
Pour une liste CRL codée au format DER :
openssl crl -in crl.der -inform DER -text -noout
Pour une CRL codée au format PEM :
openssl crl -in crl.pem -text -noout
Le résultat comprend plusieurs champs clés :
- Émetteur: l'autorité de certification (CA) qui a signé et publié la liste CRL
- Dernière mise à jour: date de génération de la liste CRL
- Prochaine mise à jour: date prévue de publication de la prochaine liste CRL
- Extensions CRL: champs facultatifs permettant de fournir des informations supplémentaires
- Certificats révoqués: liste d'entrées contenant chacune un numéro de série, une date de révocation et (éventuellement) un code de motif
Certificate Revocation List (CRL): Version 2 (0x1) Signature Algorithm: ecdsa-with-SHA256 Issuer: C=US, O=Google Trust Services, CN=WE1 Last Update: Jun 18 08:21:38 2026 GMT Next Update: Jun 28 07:21:37 2026 GMT CRL extensions: X509v3 Authority Key Identifier: 90:77:92:35:67:C4:FF:A8:CC:A9:E6:7B:D9:80:79:7B:CC:93:F9:38 X509v3 CRL Number: 5065 X509v3 Issuing Distribution Point: critical Full Name: URI:http://c.pki.goog/we1/KLRFxSqxaMw.crl Only User Certificates Revoked Certificates: Serial Number: 8D91F2A7C4BE3D6217A8E5409B3C7F12 Revocation Date: Jun 16 23:44:08 2026 GMT Serial Number: 1F5AC7D8E239B640A4C17E93D2F8B6A5 Revocation Date: Jun 16 23:44:11 2026 GMT Serial Number: C7B84219F0D56AE3348C9127E5AB6D40 Revocation Date: Jun 17 19:44:02 2026 GMT Serial Number: 2A4E8D6F91C3B750E7F1248AB5D93C61 Revocation Date: Apr 6 07:43:37 2026 GMT Serial Number: B4F7E2A9136CD8507A8B14E2C59D7F03 Revocation Date: May 20 11:23:41 2026 GMT Serial Number: 6E2B93D4A1F7085CC4E97A21D8B35F6A Revocation Date: May 27 08:56:03 2026 GMT Signature Algorithm: ecdsa-with-SHA256 Signature Value: 30:45:02:20:6a:7f:91:c3:e8:24:b1:5d:49:2e:73:8f:0c:57: 9a:de:14:63:28:b9:45:f1:7c:83:0a:dd:61:fe:32:8c:17:02: 21:00:d4:5b:8e:19:72:ac:f0:43:9d:61:b7:2e:c5:8a:34:ef: 7b:18:c2:4d:93:f6:a1:57:68:0f:3c:ba:51:9d:84
Chaque entrée d'une liste CRL contient l'identité du certificat révoqué et la date de révocation. Les informations facultatives comprennent une durée de validité, si la révocation s'applique pendant une période donnée, ainsi que le motif de la révocation. Parmi les codes de motif courants, on trouve notamment « Compromission de la clé », « Retrait des privilèges » et « Cessation d'activité ».
Affichage du contenu de la liste CRL sous Windows
Windows propose deux options pour afficher les fichiers CRL.
Utilisation de certutil :
certutil -dump crl.crl
Cela permet d'afficher le contenu de la liste CRL dans un format structuré, comprenant notamment l'émetteur, les dates de validité et la liste complète des certificats révoqués, à l'instar de la sortie OpenSSL illustrée ci-dessus.
Utilisation de la visionneuse de listes CRL de Windows :
Double-cliquez sur un fichier .crl pour ouvrir la visionneuse CRL intégrée à Windows. L'interface graphique affiche le nom de l'émetteur, la date d'entrée en vigueur, la date de la prochaine mise à jour, ainsi qu'une liste consultable des certificats révoqués.
Comment récupérer les listes CRL à partir d'EJBCA
Si votre organisation utilise EJBCA autorité de certification, vous pouvez générer et télécharger des listes CRL directement depuis l'interface de l'autorité de certification.
Utilisation de l'interface graphique EJBCA
- Dans l'interface Web EJBCA , sélectionnez «Structure CA et CRL» dans le menu.
- Pour générer et publier immédiatement une nouvelle liste CRL, cliquez sur «Créer une liste CRL ».
- Pour télécharger une liste CRL existante, cliquez sur le lien« Télécharger» situé à côté de l'autorité de certification concernée.
Utilisation de lacommand EJBCA
Générer une nouvelle liste CRL :
bin/ejbca.sh ca createcrl <CA name>
Récupérer la liste CRL actuelle :
bin/ejbca.sh ca getcrl
Vous pouvez également récupérer des listes CRL via l'interface Web EJBCA en sélectionnant «Certificats d'autorité de certification et listes CRL», puis en spécifiant le paramètre « crlnumber » pour télécharger une version spécifique de la liste CRL.
Vidéo de démonstration : comment consulter et vérifier une liste de révocation de certificats
Pour un guide visuel, la chaîne YouTube « Keyfactor Developers » propose un tutoriel consacré à la récupération des listes CRL à partir EJBCA, qui explique notamment où trouver ces listes, quelles sont les meilleures méthodes pour les récupérer et comment configurer les points de distribution des listes CRL.
Éléments importants à prendre en compte lors de la consultation d'une liste CRL
Lorsque vous ouvrez une liste CRL, concentrez-vous sur les champs suivants :
- Émetteur: identifie l'autorité de certification (CA) qui a signé et publié la liste CRL. Vérifiez que cela correspond bien à l'autorité de certification attendue.
- Cette mise à jour: la date et l'heure de génération de la CRL. Une date obsolète à cet endroit peut indiquer que l'autorité de certification ne publie pas ses mises à jour dans les délais prévus.
- Prochaine mise à jour: date et heure prévues pour la prochaine liste CRL. Si l'heure actuelle est postérieure à cette valeur, la liste CRL est périmée et ne doit pas être considérée comme fiable.
Vérifier si un certificat spécifique a été révoqué :
- Ouvrez le certificat que vous souhaitez valider et notez sonnuméro de série(qui figure dans les détails du certificat).
- Ouvrez la liste CRL et recherchez ce numéro de série dans la liste des certificats révoqués.
- Si le numéro de série est présent: le certificat a été révoqué. L'entrée indique la date de révocation, le code de motif et (le cas échéant) une date d'invalidité en cas de révocation rétroactive.
- Si le numéro de série n'apparaît pas: le certificat n'a pas été révoqué et est valide (selon cette liste CRL).
Dépannage des échecs de vérification des listes CRL
Lorsque les vérifications CRL échouent, la cause relève généralement de l'une de ces catégories.
CDP inaccessible.Le CDP doit être accessible à tout moment afin de garantir que les appareils ou les applications puissent récupérer la nouvelle liste CRL en cas de besoin. Dans le cas contraire, il est impossible de déterminer le statut du certificat concerné, et les vérifications du statut de révocation du certificat échoueront. Vérifiez la connectivité réseau, DNS et les règles de pare-feu pour l'URL du CDP.
CRL périmée. Votre CRL est périmée ou inaccessible ; tous vos certificats risquent de devenir immédiatement inutilisables. Surveillez de manière proactive la date d'expiration de la CRL et assurez-vous que l'autorité de certification la publie dans les délais prévus.
Performances des CRL volumineuses.Les CRL extrêmement volumineuses peuvent entraîner des délais d'expiration lors du téléchargement ou de l'analyse. Dans EJBCA d'entreprise, cela peut nécessiter un optimisation de la base de données, une augmentation des seuils de délai d'expiration et la mise en place de nœuds dédiés à la génération des CRL afin de maintenir des performances acceptables. Vous pouvez également envisager de passer à des CRL partitionnées pour améliorer les performances.
Incompatibilité de format.Si un outil attend un format PEM mais reçoit un format DER (ou inversement), l'analyse échouera. Convertissez les formats à l'aide d'OpenSSL :
# DER to PEM
openssl crl -in crl.der -inform DER -outform PEM -out crl.pem
# PEM to DER
openssl crl -in crl.pem -inform PEM -outform DER -out crl.der
Si vos vérifications CRL sont systématiquement lentes, pensez à les compléter par le protocole OCSP pour effectuer des vérifications d'état en temps réel. Pour en savoir plus, consultez l'article «CRL ou OCSP : ce qu'il faut savoir ».
Vous avez des questions sur le CRL ? Nous avons les réponses.
Comment vérifier si un certificat a été révoqué ?
Repérez le numéro de série du certificat dans ses détails, puis téléchargez la liste CRL à partir du CDP indiqué dans le certificat. Recherchez ce numéro de série dans la liste des certificats révoqués de la CRL. S'il y figure, cela signifie que le certificat a été révoqué.
Quels outils puis-je utiliser pour consulter une liste CRL ?
OpenSSL est l'outil le plus couramment utilisé pour consulter les listes CRL sous Linux et macOS. Sous Windows, on dispose de certutil et de la visionneuse CRL intégrée (double-cliquez sur le fichier .crl). Les plateformes d'autorités de certification telles que EJBCA permettent également de consulter et de télécharger des CRL via leurs interfaces d'administration.
Quelles informations une liste CRL contient-elle ?
Une liste CRL comprend l'émetteur (l'autorité de certification qui l'a publiée), la date de création, la prochaine date de mise à jour prévue et une liste des certificats révoqués. Chaque entrée relative à un certificat révoqué contient le numéro de série du certificat, la date de révocation et, éventuellement, un code de motif.
Comment trouver le point de distribution de la liste CRL dans un certificat ?
Ouvrez le certificat dans la visionneuse de certificats d'un navigateur ou utilisez OpenSSL (openssl x509 -in cert.pem -noout -text), puis recherchez l'extension « CRL Distribution Points ». Ce champ contient la ou les URL sur lesquelles l'autorité de certification publie sa liste CRL.
Qu'est-ce qu'une CRL delta ?
Une CRL delta ne contient que les certificats qui ont été révoqués depuis la publication de la dernière CRL complète. Les CRL delta permettent de réduire la bande passante et la charge d'analyse en complétant la CRL de base par des mises à jour incrémentielles, plutôt que de republier la liste dans son intégralité.
Pourquoi une vérification de la liste CRL pourrait-elle échouer ?
Parmi les causes courantes, on peut citer un CDP inaccessible (problèmes de réseau ou de pare-feu), une liste CRL périmée (l'autorité de certification n'a pas publié la liste dans les délais prévus), une incompatibilité de format (DER vs PEM) ou un fichier CRL trop volumineux pour que le client puisse le télécharger et l'analyser avant l'expiration du délai imparti.
À quelle fréquence dois-je vérifier les CRL ?
En règle générale, les clients mettent la CRL en cache jusqu'à l'expiration de l'horodatage « Prochaine mise à jour », puis téléchargent une nouvelle copie. Pour une surveillance proactive, vérifiez en permanence la disponibilité et l'actualité des CRL à l'aide d'outils automatisés afin de détecter les problèmes d'expiration ou de disponibilité avant qu'ils ne provoquent des interruptions de service.
Puis-je automatiser la surveillance des listes CRL ?
Oui. Les plateformes de gestion du cycle de vie des certificats telles que Keyfactor Command , proposent une surveillance automatisée des listes CRL et OCSP, alertant les équipes avant l’expiration des listes CRL ou lorsque les CDP deviennent inaccessibles. Vous pouvez également créer des scripts de vérification périodique à l’aide d’OpenSSL et de tâches cron pour une surveillance allégée.
