Co je seznam odvolání certifikátu?
Seznam zrušení certifikátu (CRL) je součástí standardu zabezpečení mezinárodního telekomunikačního unie (ITU) X.509. Podle standardu X.509 může certifikační úřad (CA) použít CRL k tomu, aby se uložil nebo výslovně zrušil jakýkoli certifikát digitálního zabezpečení, který vydal a který nevypršel. CRL je poté distribuován a používán různými počítačovými programy k potvrzení platnosti bezpečnostních certifikátů použitých k identifikaci zdroje. Prostřednictvím PKI může být každý uživatel identifikován veřejným klíčem jejich páru bezpečnostních klíčů, přičemž soukromým klíčem uživatele je druhou polovinou páru. Uživatel poté kontaktuje CA a pomocí svého veřejného klíče jako identifikace požaduje bezpečnostní certifikát. Po určité míře prověřování skutečné identity uživatele může CA poté vydat certifikát, který je vázán na veřejný klíč uživatele. Touto metodou,CA působí jako důvěryhodná třetí strana a zaručuje totožnost uživatele, kterému byl vydán certifikát.
Digitální certifikát zabezpečení je obvykle poskytnuto jednoleté nebo dvouleté životnosti. Po vypršení platnosti certifikátu musí uživatel obnovit svůj stávající certifikát opětovným ověřením své identity nebo požádáním o nový certifikát přímo. Datum vypršení platnosti certifikátu je zahrnuto v samotném certifikátu, takže počítačový software ví, kdy již nebude ctít certifikát. Jsou však časy, kdy bude možná nutné zrušit certifikát před datem vypršení platnosti. Pro tyto případy musí CA udržovat seznam zrušení certifikátu, který uvádí všechny certifikáty, které nevypršely, ale z nějakého důvodu je nelze důvěřovat.
Seznam zrušení certifikátu obsahuje řadu možných důvodů pro zrušení certifikátu. Nejčastější je, že soukromý klíč pro majiteleO certifikátu již není bezpečné, v tomto okamžiku certifikát zůstává na seznamu až do data vypršení platnosti. V tomto případě musí uživatel vygenerovat nový pár klíčů a požádat o zcela nový certifikát.
Samozřejmě existují i jiné důvody, proč se v CRL může objevit certifikát. Osvědčení může být uvedeno, pokud byl nahrazen jinou nebo dochází k určité změně informací obsažených v certifikátu o jeho vlastníkovi, nebo pokud byla samotná CA ohrožena, načež se samotný CA objeví na tom, co se nazývá seznamu zrušení autority (ARL). Dalším důvodem, proč se certifikát může objevit na CRL, je to, že certifikát je z nějakého důvodu pozastaven. V případě certifikátu uvedeného jako držení může být poté obnoveno v příštím CRL distribuovaném CA. Mnoho častých změn ve stavů certifikátů digitálního zabezpečení znamená, že seznam zrušení certifikátu má obvykle délku života asi 24 hodin, i když někdy méně.