Techniquement le problème est compris depuis longtemps et la solution au problème est connue : faire des certificats à durée de vie courte (mettons pas plus de 24 h) installés automatiquement.

Il suffirait donc de laisser les mauvais certificats expirer.

Cela ne me choque pas que la gestion des certificats soit poussée vers l'OS.

kgersen,

Si Google chrome sur Windows a une liste, poussé régulièrement, des certificats révoqués, pour quoi ce n'est pas le cas sous Ubuntu ou Android ?

L'idée d'une liste maintenu par l'éditeur du navigateur me semble effectivement une bonne solution (évite d'interroger à les serveurs pour chaque connexions https : on y gagne coté client et coté serveur). Il faudrait que je regarde le fonctionnement de Firefox sur ce point.

La liste de Chrome (CRLsets) n'est plus utilisé et l'option dans les paramètres pour l'activer ou pas a été enlevé à partir de Chrome 38 (cet été).
Donc, comme dit dans le bug tracker, Chrome ne fait plus de contrôle et délègue tout a l'OS.

L'idée d'origine des CRLsets de 2012 n'etait pas pour corriger définitivement ce probleme mais pour répondre a des cas d'urgences importants.

Un peu plus d'explication la: https://www.imperialviolet.org/2014/04/29/revocationagain.html

En résumé: la sécurité est une vue d'ensemble plein de compromis ici et la. Télécharger et maintenir des listes de révocations est une manière de faire qui a ses avantages et ses inconvénients. Parmi ces derniers, et pas des moindres, on a des ralentissements et une augmentation du trafic: Cloudfare en paye le prix fort depuis Heartbleed avec pas moins de 1/2 millions de $ par mois rien qu'en trafic de CRL.
C'est une question de choix, choisir ou l'on dépense son temps et son argent.

Si vous voulez creuser la question a fond il faut lire les contre-arguments ici: https://www.grc.com/revocation/crlsets.htm (long et pointu).

Sous Android 4.0.4, le site passe sur Firefox ! Sur le navigateur par défaut aussi.

Mais dans le cas de Windows XP, comment Chrome à vu que le certificat a été révoqué ?

Liste tenu à jour par l'OS ? Peu de chance car il n'est plus maintenu et c'est une machine virtuelle que j'utilise peu.

oui c'est l'OS.

chez moi , ce site passe sous Chrome sous Windows 7. Sous FF ou IE il ne passe pas.

J'ai forcé la maj des CRL de Windows avec la commande suivante:

certutil -urlcache crl delete
puis quitter Chrome (important) et relancer Chrome et la le site ne passe plus.

Avec Chrome, c'est donc bien l'OS qui gere ca mais l'OS ne met pas a jour forcement tout seul (question de date notamment)...et il faut rebooter ou relancer Chrome de temps a autre...

Dans mon cas avec Windows XP, c’était une VM que je n'avais pas utilisé ou mis à jour depuis plusieurs semaines, donc il me semble étonnant que XP a récupéré la révocation.

Par contre Chrome est tout neuf, je l'ai téléchargé pour le test. Il a bien bloqué le site.

C'est XP, chaque CRL a une limite de validité et est rafraîchi quand elle expire.

Il faut savoir aussi qu'il y a un cache disque, un cache mémoire et qu'a partir de Vista il y a un 2eme systeme (OCSP) avec , lui aussi, son propre cache.

tous les details ici : http://technet.microsoft.com/fr-fr/library/ee619754%28v=ws.10%29.aspx