Hva er en tilbakekallingsliste for sertifikater?
En sertifikat tilbakekallingsliste (CRL) er en komponent i International Telecommunication Union (ITU) X.509 sikkerhetsstandard. I henhold til X.509-standarden kan en sertifikatmyndighet (CA) bruke en CRL for å enten sette på vent eller uttrykkelig inndra alle digitale sikkerhetssertifikater som den har utstedt og som ikke har utløpt. CRL blir deretter distribuert og brukt av forskjellige dataprogrammer for å bekrefte gyldigheten av sikkerhetssertifikatene som brukes til å identifisere en kilde.
Generering av et sikkerhetssertifikat fra en CA faller under det som kalles en offentlig nøkkelinfrastruktur (PKI). Gjennom en PKI kan enhver bruker identifiseres med den offentlige nøkkelen til sitt sikkerhetsnøkkelpar, idet brukerens private nøkkel er den andre halvparten av paret. En bruker kontakter deretter en CA og bruker sin offentlige nøkkel som identifikasjon, ber om et sikkerhetssertifikat. Etter et visst mål for å kontrollere brukerens faktiske identitet, kan CA deretter utstede et sertifikat som er bundet til brukerens offentlige nøkkel. Ved denne metoden fungerer CA som en pålitelig tredjepart, og garanterer identiteten til brukeren som har fått utstedt et sertifikat.
Et digitalt sikkerhetssertifikat er vanligvis gitt en levetid på ett eller to år. Etter at sertifikatet har utløpt, må brukeren fornye sitt eksisterende sertifikat ved å validere identiteten sin på nytt eller ved å be om et nytt sertifikat direkte. Utløpsdatoen for et sertifikat er inkludert i selve sertifikatet, så dataprogramvare vet når du ikke lenger skal hedre et utgått sertifikat. Det er imidlertid tider hvor et sertifikat kan trenge å bli tilbakekalt før utløpsdatoen. I disse tilfellene må en CA opprettholde en tilbakekallingsliste som viser eventuelle sertifikater som ikke er utløpt, men som ikke er klarert av en eller annen grunn.
En tilbakekallingsliste inneholder et antall mulige grunner for å tilbakekalle et sertifikat. Det vanligste er at den private nøkkelen for eieren av sertifikatet ikke lenger er sikker, og på hvilket tidspunkt forblir sertifikatet på listen frem til utløpsdatoen. I dette tilfellet må brukeren generere et nytt nøkkelpar og be om et helt nytt sertifikat.
Det er selvfølgelig andre grunner til at et sertifikat kan vises i CRL. Et sertifikat kan være oppført hvis det er erstattet av en annen, eller det er noen endring i informasjonen i sertifikatet om eieren, eller hvis CA selv er blitt kompromittert, hvorpå CA selv vil vises på det som kalles en autorisasjonsgjenkalleliste (ARL). En annen grunn til at et sertifikat kan vises på en CRL, er fordi sertifikatet blir plassert på vent av en eller annen grunn. Når det gjelder et sertifikat som er oppbevart som inneholdt, kan det deretter gjeninnføres i neste CRL distribuert av CA. De mange, hyppige endringene i statusene til digitale sikkerhetssertifikater betyr at en tilbakekallingsliste vanligvis har en forventet levealder på omtrent 24 timer, men noen ganger mindre.