O que é uma lista de revogação de certificados?
Uma lista de revogação de certificado (CRL) é um componente do padrão de segurança X.509 da International Telecommunication Union (ITU). De acordo com o padrão X.509, uma autoridade de certificação (CA) pode usar uma CRL para suspender ou revogar explicitamente qualquer certificado de segurança digital emitido e que não tenha expirado. A CRL é então distribuída e usada por vários programas de computador para confirmar a validade dos certificados de segurança usados para identificar uma fonte.
A geração de um certificado de segurança por uma CA se enquadra na chamada infraestrutura de chave pública (PKI). Por meio de uma PKI, qualquer usuário pode ser identificado pela chave pública do seu par de chaves de segurança, sendo a chave privada do usuário a outra metade do par. Um usuário entra em contato com uma autoridade de certificação e, usando sua chave pública como identificação, solicita um certificado de segurança. Após alguma medida de verificação da identidade real do usuário, a CA pode emitir um certificado vinculado à chave pública do usuário. Por esse método, a CA atua como um terceiro confiável, garantindo a identidade do usuário ao qual foi emitido um certificado.
Um certificado de segurança digital geralmente recebe uma vida útil de um ou dois anos. Após a expiração do certificado, o usuário precisa renovar seu certificado existente, revalidando sua identidade ou solicitando um novo certificado imediatamente. A data de validade de um certificado está incluída no próprio certificado, para que o software do computador saiba quando não deve mais honrar um certificado expirado. No entanto, há momentos em que um certificado pode precisar ser revogado antes de sua data de validade. Para essas instâncias, uma CA deve manter uma lista de revogação de certificados que lista todos os certificados que não expiraram, mas que não podem ser confiáveis por algum motivo.
Uma lista de revogação de certificado contém vários motivos possíveis para revogar um certificado. O mais comum é que a chave privada do proprietário do certificado não é mais segura; nesse momento, o certificado permanece na lista até a data de vencimento. Nesse caso, o usuário deve gerar um novo par de chaves e solicitar um certificado totalmente novo.
Obviamente, existem outros motivos pelos quais um certificado pode aparecer na CRL. Um certificado pode ser listado se tiver sido substituído por outro ou se houver alguma alteração nas informações contidas no certificado sobre seu proprietário ou se a própria CA tiver sido comprometida, quando a própria CA aparecer na lista de revogação de autoridade (ARL). Outro motivo pelo qual um certificado pode aparecer em uma CRL é porque o certificado está sendo colocado em espera por algum motivo. No caso de um certificado listado como em espera, ele pode ser restabelecido na próxima CRL distribuída pela CA. As muitas alterações frequentes nos status dos certificados de segurança digital significam que uma lista de revogação de certificados geralmente tem uma expectativa de vida de cerca de 24 horas, embora às vezes menos.