S’abonner

Pourquoi Adobe n'arrive-t-il pas à vérifier la signature d'un fichier signé dans le passé ?

On part du principe que ce fichier est vérifié le 1er décembre 2010.

Le certificat du signataire a expiré le 17/04/2010 et Adobe n'arrive pas à récupérer une information de révocation (CRL ou réponse OCSP) qui était valide avant la date d'expiration de ce certificat. En effet, on constate que pour vérifier le statut de révocation du certificat du signataire, Adobe utilise la CRL suivante : http://www.lex-persona.fr/pki/lpuser.crl

Voici le message d'erreur produit par Adobe Reader :

Erreur de traitement de la liste de révocation des certificats.
Emetteur: cn=Lex Persona AC Interne, ou=Internal CA, o=Lex Persona, l=Troyes, st=Aube, c=FR
Cette mise à jour: 20101201230200Z
La prochaine mise à jour: 20101231230200Z
La liste de révocation des certificats a expiré ou n'est pas encore valable.

On constate que cette CRL a été publié le 1er décembre 2010 (thisUpdate) et que par conséquent, le certificat du signataire ayant expiré à cette date, rien n'oblige l'AC a indiqué si ce certificat expiré a été révoqué ou pas.
Le fait qu'il y ait un jeton d'horodatage ou non ne change strictement rien.
Une AC n'est pas obligé de publier le statut de révocation d'un certificat ayant expiré. Cette règle est vraiment fondamentale et il faut bien la retenir et la comprendre pour en appréhender les différentes conséquences.

Le message "La liste de révocation des certificats a expiré ou n'est pas encore valable" est en revanche assez peu explicite.

Julien Pasquier

Cet article vous a-t-il été utile ?
Utilisateurs qui ont trouvé cela utile : 0 sur 0
Vous avez d’autres questions ? Envoyer une demande

0 Commentaires

Cet article n'accepte pas de commentaires.