Hvad er en certifikat tilbagekaldelsesliste?
En certifikat tilbagekaldelsesliste (CRL) er en komponent i International Telecommunication Union's (ITU) X.509 Security Standard. I henhold til X.509 -standarden kan en certifikatmyndighed (CA) bruge en CRL til enten at placere et hold på eller eksplicit tilbagekalde ethvert digitalt sikkerhedscertifikat, som den har udstedt, og som ikke er udløbet. CRL distribueres derefter og bruges af forskellige computerprogrammer til at bekræfte gyldigheden af de sikkerhedscertifikater, der bruges til at identificere en kilde.
Genereringen af et sikkerhedscertifikat ved en CA falder under det, der kaldes en offentlig nøgleinfrastruktur (PKI). Gennem en PKI kan enhver bruger identificeres af den offentlige nøgle til deres sikkerhedsnøglepar, hvor brugerens private nøgle er den anden halvdel af parret. En bruger kontakter derefter en CA og bruger sin offentlige nøgle som identifikation anmoder om et sikkerhedscertifikat. Efter en vis grad af at overvinde brugerens faktiske identitet kan CA derefter udstede et certifikat, der er bundet til brugerens offentlige nøgle. Ved denne metodeCA fungerer som en betroet tredjepart og garanterer identiteten af den bruger, der har fået et certifikat.
Et digitalt sikkerhedscertifikat gives typisk en en- eller to-årig levetid. Efter at certifikatet udløber, er brugeren nødt til at forny sit eksisterende certifikat ved at genoprette sin identitet eller ved at anmode om et nyt certifikat direkte. Udløbsdatoen for et certifikat er inkluderet i selve certifikatet, så computersoftware ved, hvornår man ikke længere kan ære et udløbet certifikat. Der er dog tidspunkter, hvor et certifikat muligvis skal tilbagekaldes inden udløbsdatoen. For disse tilfælde skal en CA opretholde en certifikat tilbagekaldelsesliste, der viser eventuelle certifikater, der ikke er udløbet, men ikke kan stole på af en eller anden grund.
En certifikat tilbagekaldelsesliste indeholder en række mulige årsager til tilbagekaldelse af et certifikat. Den mest almindelige er, at den private nøgle for ejerenAf certifikatet er ikke længere sikkert, på hvilket tidspunkt certifikatet forbliver på fortegnelsen indtil dets udløbsdato. I dette tilfælde skal brugeren generere et nyt nøglepar og anmode om et helt nyt certifikat.
Der er naturligvis andre grunde til, at et certifikat kan optræde i CRL. Et certifikat kan anføres, hvis det er blevet erstattet af en anden, eller der er en vis ændring af oplysningerne i certifikatet om dens ejer, eller hvis CA i sig selv er blevet kompromitteret, hvorpå CA i sig selv vises på det, der kaldes en autoritet tilbagekaldelsesliste (ARL). En anden grund til, at et certifikat kan vises på en CRL, er fordi certifikatet af en eller anden grund placeres på vent. I tilfælde af et certifikat, der er anført som holdt, kan det derefter genindføres i den næste CRL, der er distribueret af CA. De mange, hyppige ændringer i status for digitale sikkerhedscertifikater betyder, at en certifikat tilbagekaldelsesliste normalt har en forventet levealder på cirka 24 timer, skønt nogle gange mindre.