Was ist eine Zertifikatsperrliste?
Eine Zertifikatsperrliste (Certificate Revocation List, CRL) ist Bestandteil des Sicherheitsstandards X.509 der International Telecommunication Union (ITU). Gemäß dem X.509-Standard kann eine Zertifizierungsstelle eine CRL verwenden, um ein von ihr ausgestelltes und noch nicht abgelaufenes digitales Sicherheitszertifikat zurückzuhalten oder explizit zu widerrufen. Die CRL wird dann verteilt und von verschiedenen Computerprogrammen verwendet, um die Gültigkeit der Sicherheitszertifikate zu bestätigen, die zur Identifizierung einer Quelle verwendet werden.
Die Erstellung eines Sicherheitszertifikats durch eine Zertifizierungsstelle fällt unter die so genannte Public-Key-Infrastruktur (PKI). Über eine PKI kann jeder Benutzer anhand des öffentlichen Schlüssels seines Sicherheitsschlüsselpaars identifiziert werden, wobei der private Schlüssel des Benutzers die andere Hälfte des Paars ist. Ein Benutzer kontaktiert dann eine Zertifizierungsstelle und fordert unter Verwendung seines öffentlichen Schlüssels als Identifikation ein Sicherheitszertifikat an. Nach einer gewissen Überprüfung der tatsächlichen Identität des Benutzers kann die Zertifizierungsstelle ein Zertifikat ausstellen, das an den öffentlichen Schlüssel des Benutzers gebunden ist. Auf diese Weise fungiert die Zertifizierungsstelle als vertrauenswürdiger Dritter, der die Identität des Benutzers garantiert, dem ein Zertifikat ausgestellt wurde.
Ein digitales Sicherheitszertifikat hat normalerweise eine Lebensdauer von ein oder zwei Jahren. Nach Ablauf des Zertifikats muss der Benutzer sein vorhandenes Zertifikat erneuern, indem er seine Identität erneut überprüft oder ein neues Zertifikat direkt anfordert. Das Ablaufdatum eines Zertifikats ist im Zertifikat selbst enthalten, sodass die Computersoftware weiß, wann abgelaufene Zertifikate nicht mehr berücksichtigt werden müssen. Es kann jedoch vorkommen, dass ein Zertifikat vor seinem Ablaufdatum widerrufen werden muss. In diesen Fällen muss eine Zertifizierungsstelle eine Zertifikatssperrliste führen, in der alle Zertifikate aufgeführt sind, die noch nicht abgelaufen sind, denen jedoch aus irgendeinem Grund nicht vertraut werden kann.
Eine Zertifikatswiderrufsliste enthält eine Reihe von möglichen Gründen für den Widerruf eines Zertifikats. Am häufigsten ist, dass der private Schlüssel für den Besitzer des Zertifikats nicht mehr sicher ist. Zu diesem Zeitpunkt bleibt das Zertifikat bis zu seinem Ablaufdatum in der Liste. In diesem Fall muss der Benutzer ein neues Schlüsselpaar generieren und ein vollständig neues Zertifikat anfordern.
Natürlich kann ein Zertifikat auch aus anderen Gründen in der CRL erscheinen. Ein Zertifikat kann aufgelistet werden, wenn es von einem anderen abgelöst wurde oder Änderungen an den in dem Zertifikat enthaltenen Informationen über seinen Besitzer vorgenommen wurden oder wenn die Zertifizierungsstelle selbst kompromittiert wurde. Daraufhin wird die Zertifizierungsstelle selbst in einer so genannten Berechtigungssperrliste aufgeführt (ARL). Ein weiterer Grund, warum ein Zertifikat möglicherweise auf einer CRL angezeigt wird, ist, dass das Zertifikat aus irgendeinem Grund zurückgestellt wird. Im Falle eines Zertifikats, das als im Besitz des Zertifikats aufgeführt ist, kann es in der nächsten von der Zertifizierungsstelle verteilten Zertifikatsperrliste wiederhergestellt werden. Aufgrund der zahlreichen, häufigen Änderungen des Status digitaler Sicherheitszertifikate hat eine Zertifikatsperrliste normalerweise eine Lebenserwartung von etwa 24 Stunden, manchmal jedoch auch weniger.