Was ist eine Zertifikat -Widerrufsliste?
Eine Zertifikat -Widerrufsliste (CRL) ist ein Bestandteil des ITU -X.509 -Sicherheitsstandards der International Telecommunication Union (ITU). Gemäß dem X.509 -Standard kann eine Certificate Authority (CA) eine CRL verwenden, um entweder ein von ihm ausgestellter digitaler Sicherheitszertifikat zu halten oder ausdrücklich zu widerrufen. Die CRL wird dann von verschiedenen Computerprogrammen verteilt und verwendet, um die Gültigkeit der zur Identität einer Quelle verwendeten Sicherheitszertifikate zu bestätigen. Durch einen PKI kann jeder Benutzer vom öffentlichen Schlüssel seines Sicherheitsschlüsselpaars identifiziert werden, wobei der private Schlüssel des Benutzers die andere Hälfte des Paares ist. Ein Benutzer kontaktiert dann eine CA und fordert mit seinem öffentlichen Schlüssel als Identifizierung ein Sicherheitszertifikat an. Nach einem Maß der Überprüfung der tatsächlichen Identität des Benutzers kann die CA ein Zertifikat ausstellen, das an den öffentlichen Schlüssel des Benutzers gebunden ist. Nach dieser Methode dieCA fungiert als vertrauenswürdiger Dritter und garantiert die Identität des Benutzer, der ein Zertifikat ausgestellt wurde.
Ein digitales Sicherheitszertifikat erhält in der Regel eine Lebensdauer von einer oder zwei Jahren. Nach Ablauf des Zertifikats muss der Benutzer sein vorhandenes Zertifikat erneuern, indem er seine Identität neu validiert oder ein neues Zertifikat sofort anfordert. Das Ablaufdatum eines Zertifikats ist im Zertifikat selbst enthalten, sodass die Computersoftware weiß, wann sie kein abgelaufenes Zertifikat mehr ehren müssen. Es gibt jedoch Zeiten, in denen möglicherweise vor seinem Ablaufdatum ein Zertifikat widerrufen werden muss. In diesen Fällen muss eine CA eine Zertifikat -Widerrufsliste beibehalten, in der keine Zertifikate aufgeführt sind, die nicht abgelaufen sind, aber aus irgendeinem Grund nicht vertrauenswürdig sind.
Eine Zertifikat -Widerrufsliste enthält eine Reihe möglicher Gründe für das Widerruf eines Zertifikats. Das häufigste war der private Schlüssel für den Eigentümerdes Zertifikats ist nicht mehr sicher, und an diesem Punkt bleibt das Zertifikat bis zum Ablaufdatum auf der Auflistung. In diesem Fall muss der Benutzer ein neues Schlüsselpaar generieren und ein völlig neues Zertifikat anfordern.
Es gibt natürlich andere Gründe, warum ein Zertifikat in der CRL erscheinen kann. Ein Zertifikat kann aufgeführt werden, wenn es von einem anderen abgelöst wurde oder sich die im Zertifikat über den Eigentümer enthaltenen Informationen ändern oder wenn die CA selbst kompromittiert wurde, woraufhin die CA selbst auf einer sogenannten Behörde -Widerrufsliste (ARL) angezeigt wird. Ein weiterer Grund, warum ein Zertifikat auf einer CRL angezeigt wird, ist, dass das Zertifikat aus irgendeinem Grund in die Warteschleife gebracht wird. Im Falle eines als gehaltenen Zertifikats kann es in der nächsten CRL wieder eingestellt werden, die von der CA verteilt wird. Die vielen, häufigen Änderungen an den Status digitaler Sicherheitszertifikate bedeuten, dass eine Zertifikat -Widerrufsliste in der Regel eine Lebenserwartung von etwa 24 Stunden hat, wenn auch manchmal weniger.