Wat is een certificaatintrekkingslijst?
Een certificaatintrekkingslijst (CRL) is een onderdeel van de beveiligingsstandaard X.509 van de International Telecommunication Union (ITU). Volgens de X.509-standaard kan een certificeringsinstantie (CA) een CRL gebruiken om een digitaal beveiligingscertificaat dat het heeft afgegeven of dat nog niet is verlopen, in te houden of expliciet in te trekken. De CRL wordt vervolgens verspreid en gebruikt door verschillende computerprogramma's om de geldigheid van de beveiligingscertificaten die worden gebruikt om een bron te identificeren te bevestigen.
Het genereren van een beveiligingscertificaat door een CA valt onder wat een Public Key Infrastructure (PKI) wordt genoemd. Via een PKI kan elke gebruiker worden geïdentificeerd door de openbare sleutel van zijn paar beveiligingssleutels, waarbij de persoonlijke sleutel van de gebruiker de andere helft van het paar is. Een gebruiker neemt vervolgens contact op met een CA en vraagt, met behulp van zijn openbare sleutel als identificatie, een veiligheidscertificaat aan. Na enige mate van controle van de werkelijke identiteit van de gebruiker, kan de CA vervolgens een certificaat uitgeven dat gebonden is aan de openbare sleutel van de gebruiker. Op deze manier fungeert de CA als een vertrouwde derde partij, die de identiteit garandeert van de gebruiker aan wie een certificaat is verleend.
Een digitaal veiligheidscertificaat heeft doorgaans een levensduur van één of twee jaar. Nadat het certificaat is verlopen, moet de gebruiker zijn bestaande certificaat vernieuwen door zijn identiteit opnieuw te valideren of door een nieuw certificaat ronduit aan te vragen. De vervaldatum van een certificaat is opgenomen in het certificaat zelf, zodat computersoftware weet wanneer een verlopen certificaat niet langer wordt gehonoreerd. Er zijn echter momenten waarop een certificaat moet worden ingetrokken vóór de vervaldatum. Voor die instanties moet een CA een certificaatintrekkingslijst bijhouden met alle certificaten die niet zijn verlopen, maar om welke reden dan ook niet kunnen worden vertrouwd.
Een certificaatintrekkingslijst bevat een aantal mogelijke redenen om een certificaat in te trekken. De meest voorkomende is dat de privésleutel voor de eigenaar van het certificaat niet langer veilig is, waarna het certificaat tot de vervaldatum in de lijst blijft staan. In dit geval moet de gebruiker een nieuw sleutelpaar genereren en een geheel nieuw certificaat aanvragen.
Er zijn natuurlijk andere redenen waarom een certificaat in de CRL kan verschijnen. Een certificaat kan worden vermeld als het is vervangen door een ander of als er een wijziging is in de informatie in het certificaat over de eigenaar, of als de CA zelf is gecompromitteerd, waarna de CA zelf verschijnt op een zogenaamde intrekkingslijst van een autoriteit (ARL). Een andere reden waarom een certificaat op een CRL kan verschijnen, is omdat het certificaat om een of andere reden in de wacht wordt gezet. In het geval van een certificaat waarvan wordt vermeld dat het in bezit is, kan het vervolgens worden hersteld in de volgende CRL die door de CA wordt verspreid. De vele, frequente wijzigingen in de status van digitale beveiligingscertificaten betekenen dat een certificaatintrekkingslijst meestal een levensverwachting heeft van ongeveer 24 uur, hoewel soms minder.