Co je seznam zneplatněných certifikátů?

Seznam zneplatněných certifikátů (CRL) je součástí bezpečnostního standardu Mezinárodní telekomunikační unie (ITU) X.509. Podle standardu X.509 může certifikační úřad (CÚ) použít seznam CRL k pozastavení nebo výslovnému zrušení jakéhokoli digitálního bezpečnostního certifikátu, který vydal, a jehož platnost nevypršela. CRL je poté distribuován a používán různými počítačovými programy k potvrzení platnosti bezpečnostních certifikátů použitých k identifikaci zdroje.

Generování bezpečnostního certifikátu certifikační autoritou spadá pod tzv. Infrastrukturu veřejných klíčů (PKI). Prostřednictvím PKI může být jakýkoli uživatel identifikován veřejným klíčem jejich páru bezpečnostních klíčů, přičemž soukromý klíč uživatele je druhou polovinou páru. Uživatel poté kontaktuje CA a pomocí svého veřejného klíče jako identifikace požádá o bezpečnostní certifikát. Po určité míře prověření skutečné identity uživatele může CA vydat certifikát, který je vázán na veřejný klíč uživatele. Tímto způsobem CA působí jako důvěryhodná třetí strana, která zaručuje identitu uživatele, kterému byl vydán certifikát.

Digitálnímu bezpečnostnímu certifikátu je obvykle dána jednoletá nebo dvouletá životnost. Po vypršení platnosti certifikátu musí uživatel obnovit stávající certifikát obnovením jeho identity nebo přímým vyžádáním nového certifikátu. Datum vypršení platnosti certifikátu je zahrnuto v samotném certifikátu, takže počítačový software ví, kdy již nevyhovět certifikátu, jehož platnost vypršela. Někdy však může být nutné certifikát zrušit před datem vypršení jeho platnosti. Pro tyto případy musí CA udržovat seznam zneplatněných certifikátů, který obsahuje seznam všech certifikátů, jejichž platnost neuplynula, ale z nějakého důvodu jim nelze důvěřovat.

Seznam zneplatněných certifikátů obsahuje řadu možných důvodů pro odvolání certifikátu. Nejběžnější je, že soukromý klíč pro vlastníka certifikátu již není bezpečný, v tomto okamžiku certifikát zůstává na seznamu až do data vypršení jeho platnosti. V tomto případě musí uživatel vygenerovat nový pár klíčů a vyžádat si zcela nový certifikát.

Certifikát se samozřejmě může objevit v CRL. Certifikát může být uveden, pokud byl nahrazen jiným nebo pokud došlo k nějaké změně informací obsažených v certifikátu o jeho vlastníkovi, nebo pokud byl samotný CA ohrožen, načež se samotný CA objeví na seznamu, který se nazývá seznam odvolání oprávnění. (ARL). Dalším důvodem, proč se může certifikát objevit na CRL, je to, že je certifikát z nějakého důvodu pozastaven. V případě, že je certifikát uveden jako držený, může být poté znovu zaveden do příštího seznamu CRL distribuovaného CA. Mnoho častých změn statusů digitálních bezpečnostních certifikátů znamená, že seznam zneplatněných certifikátů má obvykle životnost asi 24 hodin, i když někdy méně.