Vad är en certifikatåterkallningslista?
En certifikatåterkallningslista (CRL) är en del av International Telecommunication Union's (ITU) X.509 Säkerhetsstandard. Enligt X.509 -standarden kan en certifikatmyndighet (CA) använda en CRL för att antingen placera ett grepp på eller uttryckligen återkalla alla digitala säkerhetscertifikat som det har utfärdat och som inte har löpt ut. CRL distribueras sedan och används av olika datorprogram för att bekräfta giltigheten av säkerhetscertifikaten som används för att identifiera en källa.
Genereringen av ett säkerhetscertifikat av en CA faller under det som kallas en offentlig nyckelinfrastruktur (PKI). Genom en PKI kan alla användare identifieras med den offentliga nyckeln till deras säkerhetsnyckelpar, användarens privata nyckel är den andra hälften av paret. En användare kontaktar sedan en CA och använder sin offentliga nyckel som identifiering begär ett säkerhetscertifikat. Efter ett visst mått på att ha vettat användarens faktiska identitet kan CA sedan utfärda ett certifikat som är bundet till användarens offentliga nyckel. Med denna metod,CA fungerar som en pålitlig tredje part, vilket garanterar identiteten på användaren som har fått ett certifikat.
Ett digitalt säkerhetscertifikat ges vanligtvis en eller två års livslängd. Efter att certifikatet har löpt ut måste användaren förnya sitt befintliga certifikat genom att omvalidera sin identitet eller genom att begära ett nytt certifikat direkt. Utgångsdatumet för ett certifikat ingår i själva certifikatet, så datorprogramvara vet när man inte längre hedrar ett utgånget certifikat. Det finns emellertid tillfällen när ett certifikat kan behöva återkallas före utgångsdatumet. För dessa fall måste en CA behålla en återkallningslista för certifikat som listar alla certifikat som inte har löpt ut men inte kan lita på någon anledning.
En återkallelse av certifikat innehåller ett antal möjliga skäl för att återkalla ett certifikat. Den vanligaste är att den privata nyckeln för ägarenav certifikatet är inte längre säkert, då certifikatet förblir på listan tills dess utgångsdatum. I det här fallet måste användaren generera ett nytt nyckelpar och begära ett helt nytt certifikat.
Det finns naturligtvis andra skäl som ett certifikat kan visas i CRL. Ett certifikat kan listas om det har ersatts av en annan eller om det finns en viss förändring av informationen i certifikatet om dess ägare, eller om CA själv har komprometterats, varefter CA själv kommer att visas på vad som kallas en myndighetsåterkallningslista (ARL). Ett annat skäl som ett certifikat kan visas på en CRL är att certifikatet placeras på vent av någon anledning. När det gäller ett certifikat som listas som hålls kan det sedan återinföras i nästa CRL som distribueras av CA. De många, ofta förändringarna i statusen för digitala säkerhetscertifikat innebär att en återkallningslista för certifikat har vanligtvis en livslängd på cirka 24 timmar, men ibland mindre.