Co to jest lista unieważnień certyfikatów?
Lista odwołań certyfikatów (CRL) jest składnikiem standardu bezpieczeństwa X.509 Międzynarodowego Związku Telekomunikacyjnego (ITU). Zgodnie ze standardem X.509 urząd certyfikacji (CA) może użyć listy CRL do zawieszenia lub jawnego wycofania dowolnego certyfikatu bezpieczeństwa cyfrowego, który wystawił i który nie wygasł. Lista CRL jest następnie dystrybuowana i wykorzystywana przez różne programy komputerowe w celu potwierdzenia ważności certyfikatów bezpieczeństwa używanych do identyfikacji źródła.
Generowanie certyfikatu bezpieczeństwa przez urząd certyfikacji podlega tzw. Infrastrukturze klucza publicznego (PKI). Za pomocą PKI każdy użytkownik może zostać zidentyfikowany na podstawie klucza publicznego swojej pary kluczy bezpieczeństwa, przy czym klucz prywatny użytkownika stanowi drugą połowę pary. Następnie użytkownik kontaktuje się z urzędem certyfikacji i, używając swojego klucza publicznego jako identyfikatora, żąda certyfikatu bezpieczeństwa. Po pewnym sprawdzeniu faktycznej tożsamości użytkownika urząd certyfikacji może następnie wydać certyfikat powiązany z kluczem publicznym użytkownika. Dzięki tej metodzie urząd certyfikacji działa jako zaufana strona trzecia, gwarantując tożsamość użytkownika, któremu wydano certyfikat.
Cyfrowy certyfikat bezpieczeństwa zazwyczaj ma roczny lub dwuletni okres ważności. Po wygaśnięciu certyfikatu użytkownik musi odnowić swój istniejący certyfikat, ponownie sprawdzając jego tożsamość lub bezpośrednio żądając nowego certyfikatu. Data ważności certyfikatu jest zawarta w samym certyfikacie, więc oprogramowanie komputerowe wie, kiedy nie honorować już wygasłego certyfikatu. Są jednak chwile, w których certyfikat może wymagać odwołania przed datą wygaśnięcia. W takich przypadkach urząd certyfikacji musi prowadzić listę odwołania certyfikatów, która zawiera listę certyfikatów, które nie wygasły, ale z jakiegoś powodu nie można im ufać.
Lista odwołania certyfikatów zawiera wiele możliwych przyczyn unieważnienia certyfikatu. Najczęstsze jest to, że klucz prywatny właściciela certyfikatu nie jest już bezpieczny, w którym to momencie certyfikat pozostaje na liście do daty wygaśnięcia. W takim przypadku użytkownik musi wygenerować nową parę kluczy i zażądać zupełnie nowego certyfikatu.
Istnieją oczywiście inne powody, dla których certyfikat może pojawić się w liście CRL. Certyfikat może zostać wymieniony, jeśli został zastąpiony przez inny lub nastąpiły pewne zmiany w informacjach zawartych w certyfikacie o jego właścicielu lub jeśli sam urząd certyfikacji został naruszony, po czym sam urząd certyfikacji pojawi się na tak zwanej liście odwołania urzędu (ARL). Innym powodem, dla którego certyfikat może pojawić się na liście CRL, jest to, że certyfikat został z jakiegoś powodu zawieszony. W przypadku certyfikatu wymienionego jako przechowywany, można go przywrócić do następnej listy CRL dystrybuowanej przez urząd certyfikacji. Liczne, częste zmiany statusów cyfrowych certyfikatów bezpieczeństwa oznaczają, że lista odwołań certyfikatów zwykle ma około 24 godzin, choć czasem krótsza.