Co to jest lista odwołania certyfikatów?
Lista odwołania certyfikatów (CRL) jest elementem standardu bezpieczeństwa międzynarodowego związku telekomunikacyjnego (ITU) X.509. Zgodnie ze standardem X.509 Urząd Certyfikatu (CA) może użyć CRL, aby zatrzymać lub wyraźnie odwołać dowolny wydany przez niego certyfikat bezpieczeństwa cyfrowego, który nie wygasł. CRL jest następnie dystrybuowany i wykorzystywany przez różne programy komputerowe w celu potwierdzenia ważności certyfikatów bezpieczeństwa używanych do tożsamości źródła.
Generowanie certyfikatu bezpieczeństwa przez CA należy do tak zwanej infrastruktury klucza publicznego (PKI). Za pośrednictwem PKI każdego użytkownika może zostać zidentyfikowane przez klucz publiczny pary klucza bezpieczeństwa, przy czym klucz prywatny użytkownika to druga połowa pary. Użytkownik następnie kontaktuje się z CA i, używając swojego klucza publicznego jako identyfikacji, żąda certyfikatu bezpieczeństwa. Po pewnej miary sprawdzania rzeczywistej tożsamości użytkownika CA może następnie wydać certyfikat związany z kluczem publicznym użytkownika. Według tej metodyCA działa jako zaufana strona trzecia, gwarantując tożsamość użytkownika, który otrzymał certyfikat.
Cyfrowy certyfikat bezpieczeństwa ma zazwyczaj jedno- lub dwuletnią żywotność. Po wygaśnięciu certyfikatu użytkownik musi odnowić swój istniejący certyfikat poprzez ponowne weryfikację swojej tożsamości lub wprost żądając nowego certyfikatu. Data wygaśnięcia certyfikatu jest zawarta w samym certyfikcie, więc oprogramowanie komputerowe wie, kiedy nie honorować wygasłego certyfikatu. Są jednak chwile, gdy certyfikat może wymagać odwołania przed datą wygaśnięcia. W przypadku tych przypadków CA musi zachować listę odwołania certyfikatów, która wymienia wszelkie certyfikaty, które nie wygasły, ale z jakiegoś powodu nie można ich ufać.
Lista odwołania certyfikatów zawiera szereg możliwych powodów cofnięcia certyfikatu. Najczęstszym jest to, że klucz prywatny dla właścicielacertyfikatu nie jest już bezpieczne, w którym to momencie certyfikat pozostaje na liście do daty wygaśnięcia. W takim przypadku użytkownik musi wygenerować nową parę kluczy i poprosić o zupełnie nowy certyfikat.
Istnieją oczywiście inne powody, dla których certyfikat może pojawić się w CRL. Certyfikat można wymienić, jeśli został zastąpiony przez inny lub nastąpi pewna zmiana informacji zawartych w certyfikatu o jego właścicielu, lub jeśli sama CA została naruszona, po czym sama CA pojawi się na tym, co nazywa się listą odwołania autorytetu (ARL). Innym powodem, dla którego certyfikat może pojawić się na CRL, jest to, że certyfikat jest zawieszony z jakiegoś powodu. W przypadku certyfikatu wymienionego jako przechowywania można go następnie przywrócić w następnym CRL dystrybuowanym przez CA. Wiele, częste zmiany w statusach cyfrowych certyfikatów bezpieczeństwa oznaczają, że lista odwołania certyfikatów zwykle ma długość życia około 24 godzin, choć czasem mniej.