L’utilisation de certificats électroniques pour l’authentification ou la signature nécessite de vérifier que :
■ le certificat provient d’une autorité de certification de confiance, c’est-à-dire que le certificat a été signé par une autorité de certification (autorité finale) dépendant directement de l’autorité de confiance (autorité racine) ;
■ ces autorités de certification doivent, au préalable, être insérées dans le coffre-fort de l’application - l’introduction doit être faite après vérification de leur authenticité (intégrité et origine) ;
■ l’utilisation du certificat est bien conforme aux usages de clé autorisés précisés dans les extensions keyUsage et extendedKeyUsage ;
■ le certificat est encore valide, c’est-à-dire que la date de validité n’est pas dépassée et qu’il n’a pas fait l’objet d’une révocation (par exemple pour perte ou suspicion de compromission).

Les premières vérifications se basent uniquement sur le certificat utilisé. En revanche, la vérification de la validité nécessite d’appeler un service d’information sur l’état des certificats.
À cet effet, un Prestataire de Service de Certification Electronique (PSCE) peut mettre ces informations à disposition des utilisateurs soit par des listes de révocation des certificats (CRL), soit par l’intermédiaire d’un service OCSP qui indique pour un certificat s’il est révoqué ou non.

Ce guide décrit comment utiliser les CRLs et le répondeur OCSP des IGC de santé (2bis, 2ter et IGC-Santé).