¿Qué es una lista de revocación de certificados?
Una lista de revocación de certificados (CRL) es un componente del estándar de seguridad X.509 de la Unión de Telecomunicaciones Internacional (ITU). Según el estándar X.509, una autoridad de certificado (CA) puede usar un CRL para colocar un control o revocar explícitamente cualquier certificado de seguridad digital que haya emitido y que no haya expirado. Luego, el CRL se distribuye y usa por varios programas de computadora para confirmar la validez de los certificados de seguridad utilizados para identificar una fuente.
La generación de un certificado de seguridad por parte de una CA cae en lo que se llama infraestructura de clave pública (PKI). A través de un PKI, la clave pública de su par de clave de seguridad puede identificar a cualquier usuario, siendo la clave privada del usuario la otra mitad del par. Luego, un usuario contacta a una CA y, utilizando su clave pública como identificación, solicita un certificado de seguridad. Después de alguna medida de examinar la identidad real del usuario, la CA puede emitir un certificado que está vinculado a la clave pública del usuario. Por este método, elCA actúa como un tercero de confianza, que garantiza la identidad del usuario que recibió un certificado.
Un certificado de seguridad digital generalmente recibe una vida útil de uno o dos años. Después de que el certificado expire, el usuario necesita renovar su certificado existente realidando su identidad o solicitando un nuevo certificado directamente. La fecha de vencimiento de un certificado se incluye en el certificado en sí, por lo que el software de la computadora sabe cuándo ya no honrar un certificado vencido. Sin embargo, hay momentos en que un certificado puede ser necesario revocar antes de su fecha de vencimiento. Para esas instancias, una CA debe mantener una lista de revocación de certificados que enumere cualquier certificado que no haya expirado pero que no se pueda confiar por algún motivo.
Una lista de revocación de certificados contiene una serie de razones posibles para revocar un certificado. El más común es que la clave privada para el propietariodel certificado ya no es seguro, momento en el que el certificado permanece en la lista hasta su fecha de vencimiento. En este caso, el usuario debe generar un nuevo par de claves y solicitar un certificado completamente nuevo.
Hay, por supuesto, otras razones por las que puede aparecer un certificado en el CRL. Se puede enumerar un certificado si ha sido reemplazado por otro o hay algún cambio en la información contenida en el certificado sobre su propietario, o si la CA en sí ha sido comprometida, con lo cual el CA en sí aparecerá en lo que se llama una lista de revocación de la autoridad (ARL). Otra razón por la que puede aparecer un certificado en un CRL es porque el certificado se está en espera por alguna razón. En el caso de un certificado enumerado como se retiene, luego se puede restablecer en el siguiente CRL distribuido por la ca. Los muchos cambios frecuentes en los estados de los certificados de seguridad digital significan que una lista de revocación de certificados generalmente tiene una esperanza de vida de aproximadamente 24 horas, aunque a veces menos.