O que é uma lista de revogação de certificados?
Uma lista de revogação de certificados (CRL) é um componente do padrão de segurança X.509 da União Internacional de Telecomunicações (ITU). De acordo com o padrão X.509, uma autoridade de certificado (CA) pode usar uma CRL para fazer uma espera ou revogar explicitamente qualquer certificado de segurança digital emitido e que não expirou. A CRL é então distribuída e usada por vários programas de computador para confirmar a validade dos certificados de segurança usados para identificar uma fonte. Por meio de um PKI, qualquer usuário pode ser identificado pela chave pública de seu par de chaves de segurança, a chave privada do usuário sendo a outra metade do par. Um usuário entra em contato com uma CA e, usando sua chave pública como identificação, solicita um certificado de segurança. Após uma medida de examinar a identidade real do usuário, a CA pode emitir um certificado que está vinculado à chave pública do usuário. Por este método, oA CA atua como terceiros confiáveis, garantindo a identidade do usuário que recebeu um certificado.
Um certificado de segurança digital geralmente recebe uma vida útil de um ou dois anos. Após o término do certificado, o usuário precisa renovar seu certificado existente, validando sua identidade ou solicitando um novo certificado. A data de validade de um certificado está incluída no próprio certificado; portanto, o software de computador sabe quando não honrar mais um certificado expirado. Há momentos, no entanto, quando um certificado pode precisar ser revogado antes da data de validade. Para essas instâncias, uma CA deve manter uma lista de revogação de certificados que lista quaisquer certificados que não expirassem, mas não podem ser confiáveis por algum motivo.
Uma lista de revogação de certificados contém uma série de possíveis motivos para revogar um certificado. O mais comum é que a chave privada para o proprietáriodo certificado não é mais seguro, momento em que o certificado permanece na listagem até a data de validade. Nesse caso, o usuário deve gerar um novo par de chaves e solicitar um certificado totalmente novo.
Existem, obviamente, outras razões pelas quais um certificado pode aparecer na CRL. Um certificado pode ser listado se tiver sido substituído por outro ou houver alguma alteração nas informações contidas no certificado sobre seu proprietário, ou se a própria CA foi comprometida, e a CA em si aparecerá no que é chamado de lista de revogação de autoridade (ARL). Outro motivo pelo qual um certificado pode aparecer em uma CRL é porque o certificado está sendo colocado em espera por algum motivo. No caso de um certificado listado como sendo mantido, ele pode ser reintegrado no próximo CRL distribuído pela ca. As muitas mudanças frequentes nos status dos certificados de segurança digital significam uma lista de revogação de certificados geralmente tem uma expectativa de vida de cerca de 24 horas, embora às vezes menos.