Co to jest lista unieważnionych certyfikatów?

Lista odwołania certyfikatów (CRL) jest składnikiem standardu bezpieczeństwa X.509 Międzynarodowego Związku Telekomunikacyjnego (ITU). Zgodnie ze standardem X.509, urząd certyfikacji (CA) może użyć listy CRL do wstrzymania lub jawnego unieważnienia dowolnego wystawionego przez siebie cyfrowego certyfikatu bezpieczeństwa, który nie wygasł. Lista CRL jest następnie dystrybuowana i używana przez różne programy komputerowe w celu potwierdzenia ważności certyfikatów bezpieczeństwa używanych do identyfikacji źródła.

Generowanie certyfikatu bezpieczeństwa przez urząd certyfikacji podlega tak zwanej infrastrukturze klucza publicznego (PKI). Poprzez PKI, każdy użytkownik może być zidentyfikowany przez klucz publiczny z pary kluczy bezpieczeństwa, przy czym klucz prywatny użytkownika jest drugą połową pary. Następnie użytkownik kontaktuje się z CA i używając swojego klucza publicznego jako identyfikacji, żąda certyfikatu bezpieczeństwa. Po przeprowadzeniu pewnej weryfikacji rzeczywistej tożsamości użytkownika urząd certyfikacji może wydać certyfikat powiązany z kluczem publicznym użytkownika. Dzięki tej metodzie CA działa jako zaufana strona trzecia, gwarantując tożsamość użytkownika, któremu wystawiono certyfikat.

Certyfikat bezpieczeństwa cyfrowego ma zazwyczaj roczny lub dwuletni okres ważności. Po wygaśnięciu certyfikatu użytkownik musi odnowić swój istniejący certyfikat, ponownie weryfikując swoją tożsamość lub bezpośrednio żądając nowego certyfikatu. Data wygaśnięcia certyfikatu jest zawarta w samym certyfikacie, więc oprogramowanie komputerowe wie, kiedy przestać honorować wygasły certyfikat. Zdarzają się jednak sytuacje, w których konieczne może być unieważnienie certyfikatu przed datą wygaśnięcia. W takich przypadkach urząd certyfikacji musi prowadzić listę unieważnionych certyfikatów zawierającą wszystkie certyfikaty, które nie wygasły, ale z jakiegoś powodu nie można im zaufać.

Lista unieważnionych certyfikatów zawiera kilka możliwych powodów unieważnienia certyfikatu. Najczęstszym jest to, że klucz prywatny właściciela certyfikatu nie jest już bezpieczny, w którym to momencie certyfikat pozostaje na liście do daty wygaśnięcia. W takim przypadku użytkownik musi wygenerować nową parę kluczy i zażądać zupełnie nowego certyfikatu.

Są oczywiście inne powody, dla których certyfikat może pojawić się na liście CRL. Certyfikat może być wymieniony, jeśli został zastąpiony przez inny lub nastąpiła zmiana w informacjach zawartych w certyfikacie o jego właścicielu lub jeśli sam CA został naruszony, po czym sam CA pojawi się na tak zwanej liście unieważnień uprawnień (ARL). Innym powodem, dla którego certyfikat może pojawić się na liście CRL, jest jego wstrzymanie z jakiegoś powodu. W przypadku certyfikatu wymienionego jako posiadany, można go przywrócić na następnej liście CRL dystrybuowanej przez urząd certyfikacji. Liczne, częste zmiany statusów cyfrowych certyfikatów bezpieczeństwa oznaczają, że lista unieważnionych certyfikatów zwykle ma żywotność około 24 godzin, choć czasami krócej.