Wat is een certificaat intrekkingslijst?
Een certificaat intrekkingslijst (CRL) is een onderdeel van de International Telecommunication Union's (ITU) X.509 beveiligingsstandaard. Volgens de X.509 -standaard kan een certificaatautoriteit (CA) een CRL gebruiken om een wacht te stellen of expliciet in te trekken, elk digitaal beveiligingscertificaat dat het heeft uitgegeven en dat niet is verlopen. De CRL wordt vervolgens gedistribueerd en gebruikt door verschillende computerprogramma's om de geldigheid te bevestigen van de beveiligingscertificaten die worden gebruikt om een bron te identificeren.
Het genereren van een beveiligingscertificaat door een CA valt onder wat een openbare sleutelinfrastructuur (PKI) wordt genoemd. Via een PKI kan elke gebruiker worden geïdentificeerd door de openbare sleutel van zijn beveiligingssleutelpaar, waarbij de privésleutel van de gebruiker de andere helft van het paar is. Een gebruiker neemt vervolgens contact op met een CA en vraagt, met behulp van zijn openbare sleutel als identificatie, om een beveiligingscertificaat. Na een zekere mate van controle van de werkelijke identiteit van de gebruiker, kan de CA vervolgens een certificaat afgeven dat gebonden is aan de openbare sleutel van de gebruiker. Door deze methode, deCA fungeert als een vertrouwde derde partij en garandeert de identiteit van de gebruiker die een certificaat heeft gekregen.
Een digitaal beveiligingscertificaat krijgt meestal een levensduur van één of twee jaar. Nadat het certificaat is verstreken, moet de gebruiker zijn bestaande certificaat verlengen door zijn identiteit opnieuw te valideren of door een nieuw certificaat te vragen. De vervaldatum van een certificaat is opgenomen in het certificaat zelf, dus computersoftware weet wanneer geen verlopen certificaat niet langer moet worden genomen. Er zijn echter momenten waarop een certificaat mogelijk moet worden ingetrokken vóór de vervaldatum. Voor die gevallen moet een CA een lijst met certificaten bijhouden die certificaten vermeldt die niet zijn verlopen maar om een of andere reden niet kunnen worden vertrouwd.
Een lijst met certificaat intrekking bevat een aantal mogelijke redenen voor het intrekken van een certificaat. De meest voorkomende is dat de privésleutel voor de eigenaarvan het certificaat is niet langer veilig, op welk punt het certificaat op de aanbieding blijft tot de vervaldatum. In dit geval moet de gebruiker een nieuw sleutelpaar genereren en een geheel nieuw certificaat aanvragen.
Er zijn natuurlijk andere redenen waarom een certificaat in de CRL kan verschijnen. Een certificaat kan worden vermeld als het is vervangen door een ander of er is enige wijziging in de informatie in het certificaat over de eigenaar, of als de CA zelf is gecompromitteerd, waarna de CA zelf zal verschijnen op wat een autoriteitsintrekkingslijst (ARL) wordt genoemd. Een andere reden waarom een certificaat op een CRL kan verschijnen, is omdat het certificaat om een of andere reden in de wacht wordt gezet. In het geval van een certificaat dat wordt vermeld, kan het vervolgens worden hersteld in de volgende CRL die wordt gedistribueerd door de CA. De vele, frequente wijzigingen in de status van digitale beveiligingscertificaten betekenen dat een lijst met certificaat intrekking meestal een levensverwachting heeft van ongeveer 24 uur, hoewel soms minder.