Révocation playReady
La révocation est un processus permettant d’identifier les clients qui ont compromis la sécurité et d’empêcher ces clients d’accéder à des licences supplémentaires pour déchiffrer du contenu qui a été protégé.
Lorsque Microsoft identifie un client avec une sécurité compromise, l’appareil peut être révoqué et ajouté à une liste de révocation. La liste de révocation est régulièrement téléchargée par les serveurs de licences qui émettent des licences pour du contenu protégé. Les serveurs de licence utilisent cette liste de révocation pour refuser les licences aux appareils qui ont été révoqués, empêchant ainsi l’appareil de lire du contenu nouvellement protégé.
Les listes de révocation sont actualisées sur les appareils lorsqu’ils ne sont pas à jour. La liste de révocation peut également être émise avec des licences. Le composant DRM sur l’appareil vérifie cette liste de révocation avant de transférer du contenu vers d’autres appareils. En empêchant la communication avec les composants révoqués, les applications révoquées ne fonctionnent plus. Une fois révoqué, la seule façon de résoudre la situation consiste à remplacer l’élément révoqué ou à supprimer le composant révoqué d’une version plus récente de la liste de révocation.
Microsoft génère et gère la liste de révocation et sa structure de contrôle de version. Les clients PlayReady peuvent télécharger cette liste à partir du lien suivant :
Liste de révocation PlayReady (https) : https://aka.ms/revinfo
Liste de révocation PlayReady(http) : https://go.microsoft.com/fwlink/?LinkId=110086
Conformément aux exigences des règles de conformité pour les produits PlayReady, les entreprises qui exploitent un serveur PlayReady « doivent mettre à jour les listes de révocation de certificats du Kit de développement logiciel PlayReady Server pour chaque serveur PlayReady une fois par semaine ». Cela garantit que tout client compromis obtient ses demandes de licence refusées dans un délai raisonnable après son ajout par Microsoft à la liste de révocation.
À compter de PlayReady Server version 4.3, votre application serveur peut ignorer explicitement un ou plusieurs hachages révoqués et continuer à leur émettre du contenu même s’ils sont révoqués. Cela peut être utile pour les entreprises qui produisent et distribuent du contenu protégé et qui souhaitent avoir plus de contrôle sur l’endroit où ce contenu peut circuler.
Pour utiliser cette fonctionnalité, vous devez créer un fichier XML contenant les hachages de certificat que vous souhaitez ignorer, ainsi qu’ajouter une nouvelle entrée au fichier web.config de votre implémentation RMSDK. Le fichier XML a le format suivant.
<?xml version="1.0" ENCODING="utf-8"?>
<RevAllowInfo>
<AllowList>
<CertificateHash>2C4OCYBGE3XZ3ODIUVUWD0SVLWH4W1NX9EA5DMJZ/PK=</CertificateHash>
<CertificateHash>9OHU9A1KAJYI9BUWQWAVXBOO7R4XS+GG8HV0ESDBTNW=</CertificateHash>
</AllowList>
</RevAllowInfo>
Les données du nœud « CertificateHash » doivent correspondre au hachage du modèle révoqué ou du certificat d’entreprise. Microsoft a l’intention de publier ces informations, ainsi que les informations de modèle correspondantes, pour les révocations futures.
Vous devez également référencer ce fichier XML à partir de la configuration de votre serveur.
Pour les déploiements RMSDK basés sur .Net Core :
- Le fichier XML doit être ajouté en tant que projet d’élément.
- La chaîne RevocationAllowFile dans config/RMSDKConfig.cs doit être mise à jour avec le chemin d’accès au fichier XML.
Pour les déploiements RMSDK basés sur IIS :
- Ajoutez une nouvelle clé portant le nom « REVOCATIONALLOWFILE » qui pointe vers votre fichier XML vers le fichier web.config.
- Par exemple, si le fichier XML ci-dessus a été nommé « REVOCATIONALLOWSAMPLE.XML », le fichier web.config est mis à jour comme suit.
<?xml version="1.0" encoding="utf-8"?>
<configuration>
<appSettings>
...
<add key="RevocationAllowFile" value="REVOCATIONALLOWSAMPLE.XML">
...