Hvad er en tilbagekaldelsesliste for certifikater?
En certifikat tilbagekaldelse liste (CRL) er en komponent i Den Internationale Telekommunikationsunions (ITU) X.509 sikkerhedsstandard. I henhold til X.509-standarden kan en certifikatmyndighed (CA) bruge en CRL til enten at placere et hold på eller eksplicit annullere ethvert digitalt sikkerhedscertifikat, som det har udstedt, og som ikke er udløbet. CRL distribueres derefter og bruges af forskellige computerprogrammer til at bekræfte gyldigheden af de sikkerhedscertifikater, der bruges til at identificere en kilde.
Generering af et sikkerhedscertifikat fra en CA falder ind under det, der kaldes en offentlig nøgleinfrastruktur (PKI). Via en PKI kan enhver bruger identificeres ved hjælp af den offentlige nøgle til deres sikkerhedstastpar, idet brugerens private nøgle er den anden halvdel af paret. En bruger kontakter derefter en CA og bruger sin offentlige nøgle som identifikation og anmoder om et sikkerhedscertifikat. Efter et vist mål for at kontrollere brugerens faktiske identitet kan CA derefter udstede et certifikat, der er bundet til brugerens offentlige nøgle. Ved denne metode fungerer CA som en betroet tredjepart og garanterer identiteten af den bruger, der har fået udstedt et certifikat.
Et digitalt sikkerhedscertifikat får typisk en levetid på et eller to år. Når certifikatet udløber, skal brugeren fornye sit eksisterende certifikat ved at validere sin identitet eller ved at anmode om et nyt certifikat direkte. Udløbsdatoen for et certifikat er inkluderet i selve certifikatet, så computersoftware ved, hvornår man ikke længere skal ære et udløbet certifikat. Der er dog tidspunkter, hvor et certifikat muligvis skal ophæves inden udløbsdatoen. I disse tilfælde skal en CA opretholde en liste over tilbagekaldelse af certifikater, der viser eventuelle certifikater, der ikke er udløbet, men som af en eller anden grund ikke kan stole på.
En liste til tilbagekaldelse af certifikater indeholder et antal mulige grunde til at tilbagekalde et certifikat. Det mest almindelige er, at den private nøgle til certifikatsejeren ikke længere er sikker, på hvilket tidspunkt certifikatet forbliver på fortegnelsen indtil udløbsdatoen. I dette tilfælde skal brugeren generere et nyt nøglepar og anmode om et helt nyt certifikat.
Der er naturligvis andre grunde til, at et certifikat kan vises i CRL. Et certifikat kan vises på listen, hvis det er blevet erstattet af en anden, eller hvis der sker en ændring af oplysningerne i certifikatet om dens ejer, eller hvis CA selv er blevet kompromitteret, hvorpå CA selv vises på det, der kaldes en autoriserings tilbagekaldelsesliste (ARL). En anden grund til, at et certifikat kan vises på en CRL, er, at certifikatet af en eller anden grund placeres på vent. I tilfælde af et certifikat, der er opført som indeholdt, kan det derefter genindføres i den næste CRL, der distribueres af CA. De mange, hyppige ændringer i status for digitale sikkerhedscertifikater betyder, at en tilbagekaldelsesliste for certifikater normalt har en forventet levetid på cirka 24 timer, dog nogle gange mindre.