Vad är en certifikatåterkallningslista?
En certifikatåterkallningslista (CRL) är en del av International Telecommunication Union (ITU) X.509 säkerhetsstandard. Enligt X.509-standarden kan en certifikatutfärdare (CA) använda en CRL för att antingen placera ett stopp eller uttryckligen återkalla alla digitala säkerhetscertifikat som det har utfärdat och som inte har löpt ut. CRL distribueras sedan och används av olika datorprogram för att bekräfta giltigheten av säkerhetscertifikaten som används för att identifiera en källa.
Generering av ett säkerhetscertifikat av en CA faller under det som kallas en offentlig nyckelinfrastruktur (PKI). Genom en PKI kan varje användare identifieras med den offentliga nyckeln för sitt säkerhetsnyckelpar, varvid användarens privata nyckel är den andra halvan av paret. En användare kontaktar sedan en CA och använder sin offentliga nyckel som identifiering, begär ett säkerhetscertifikat. Efter en viss mätning av användarens faktiska identitet kan CA sedan utfärda ett certifikat som är bundet till användarens offentliga nyckel. Med denna metod fungerar CA som en pålitlig tredje part och garanterar identiteten för användaren som har fått ett certifikat.
Ett digitalt säkerhetscertifikat ges vanligtvis en livslängd på ett eller två år. Efter att certifikatet har löpt ut måste användaren förnya sitt befintliga certifikat genom att revalidera sin identitet eller genom att begära ett nytt certifikat direkt. Utgångsdatumet för ett certifikat ingår i själva certifikatet, så datorprogramvara vet när man inte längre ska hedra ett giltigt certifikat. Det finns dock tillfällen då ett certifikat kan behöva återkallas före utgångsdatumet. För dessa fall måste en CA behålla en certifikatåterkallningslista som listar alla certifikat som inte har gått ut men som inte kan lita på av någon anledning.
En certifieringslista innehåller ett antal möjliga skäl för att återkalla ett certifikat. Det vanligaste är att den privata nyckeln för ägaren av certifikatet inte längre är säker, då är certifikatet kvar på listan tills dess utgångsdatum. I detta fall måste användaren generera ett nytt nyckelpar och begära ett helt nytt certifikat.
Det finns naturligtvis andra skäl till att ett certifikat kan visas i CRL. Ett certifikat kan listas om det har ersatts av någon annan eller om det finns någon förändring av informationen i certifikatet om dess ägare, eller om CA själv har kompromitterats, varefter CA själv kommer att visas på det som kallas en myndighet återkallande lista (ARL). En annan anledning till att ett certifikat kan visas på en CRL är att certifikatet av någon anledning placeras på vent. Om ett certifikat listas som innehas kan det sedan återinföras i nästa CRL distribuerat av CA. De många, ofta ändrade statusen för digitala säkerhetscertifikat innebär att en lista för återkallande av certifikat oftast har en livslängd på cirka 24 timmar, men ibland mindre.