Cette recommendation n’est pas implanté dans cette version.
REC_0.X-1090
Issue #34
new
Il est recommandé de faire également un contrôle de révocation des certificats serveurs du SI DMP.
Official response
Comments (3)
-
reporter -
- marked as task
-
La DevBox-Santé DMP utilise les mécanismes décrits ici : https://doc.devbox-sante.fr/ms-sante/howtos/preuve_segur/#mss-6--non-révocation-du-certificat
C’est à dire :
Lors du lancement de la JVM (version 11 minimal) du connecteur DMP un truststore est généré avec un sous ensemble de la gamme de certificats de l’AC définit à l’url suivante : http://igc-sante.esante.gouv.fr/PC/
Nous prenons en compte les CRL disponibles pour chaque certificat donné à cette même URL.
Les logs montrent cette prise en charge :
2022-10-12 12:00:30.758 - igcsante.IGCSanteTrustoreManager : Ajout de la CRL http://igc-sante.esante.gouv.fr/CRL/ACI-EL-ORG.crl au trustStore 2022-10-12 12:00:31.848 - igcsante.IGCSanteTrustoreManager : Ajout de la CRL http://igc-sante.esante.gouv.fr/CRL/ACI-EL-ORG-TEST.crl au trustStore
L’
IGCSanteTrustoreManager
est codé pour vérifier les CRLs disponibles sur http://igc-sante.esante.gouv.fr/PC/, dont voici l’extrait de code :PKIXBuilderParameters pkixParams = new PKIXBuilderParameters(trustStore, new X509CertSelector()); for (IGCSanteGammeCertificat gammeCertificat : gammeCertificats) { String crlUrl = gammeCertificat.getCrlUrl(); log.info("Ajout de la CRL {} au trustStore", crlUrl); pkixParams.addCertStore(_loadCRL(crlUrl)); } pkixParams.setRevocationEnabled(true); ManagerFactoryParameters trustParams = new CertPathTrustManagerParameters(pkixParams);
- Log in to comment
La DevBox-Santé DMP utilise les mécanismes décrits ici : https://doc.devbox-sante.fr/ms-sante/howtos/preuve_segur/#mss-6--non-révocation-du-certificat
C’est à dire :
Lors du lancement de la JVM (version 11 minimal) du connecteur DMP un truststore est généré avec un sous ensemble de la gamme de certificats de l’AC définit à l’url suivante : http://igc-sante.esante.gouv.fr/PC/
Nous prenons en compte les CRL disponibles pour chaque certificat donné à cette même URL.
Les logs montrent cette prise en charge :
L’
IGCSanteTrustoreManager
est codé pour vérifier les CRLs disponibles sur http://igc-sante.esante.gouv.fr/PC/, dont voici l’extrait de code :