Certificate Revocation List

Certificate Revocation List

Eine Zertifikatsperrliste (engl. Certificate Revocation List – CRL) ist eine Liste, die die Ungültigkeit von Zertifikaten beschreibt. Sie ermöglicht es, festzustellen, ob ein Zertifikat gesperrt oder widerrufen wurde und warum.

Zertifikate werden gesperrt oder widerrufen, wenn deren zugehörige Schlüssel z. B. nicht mehr sicher sind, weil sie in falsche Hände geraten sind oder „geknackt“ wurden – in solchen Fällen muss das Zertifikat noch vor dem eigentlichen Ablaufdatum gesperrt werden, damit der Schlüssel nicht weiter verwendet wird. Ein anderer Grund für die Sperrung oder den Widerruf eines Zertifikats kann ein falscher Zertifikatsinhalt sein, beispielsweise im Fall einer Namensänderung. Zertifikatssperrlisten sind daher ein wichtiger Teil der Public Key Infrastructure.

Eine Sperre (engl. hold) ist temporär und kann aufgehoben werden (z. B. wenn man nicht sicher ist, ob der private Schlüssel verloren/kompromittiert ist, man aber sichergehen will), ein Widerruf (engl. revocation) ist endgültig.

Erklärt eine Zertifizierungsstelle (certificate authority, CA) ein Zertifikat (oder mehrere) für ungültig, trägt es die Seriennummer dieses Zertifikats in die Certificate Revocation List ein. Diese wird immer dann abgefragt, wenn ein Programm bei der Zertifizierungsstelle anfragt, ob ein bestimmtes Zertifikat gültig ist (was vor jeder Verwendung des Schlüssels geschehen sollte).

Die Sperrliste enthält einen Zeitstempel und ist zum Schutz vor Manipulation selbst durch eine digitale Signatur gesichert. Somit kann eine Software, die diese Sperrliste auswertet, prüfen, ob die Integrität der Sperrliste gewährleistet ist und ob sie von einem vertrauenswürdigen Herausgeber stammt.

Zu der Sperrliste gehört auch ein Gültigkeitszeitraum, außerhalb dessen die Informationen in der Liste eben nicht mehr als gültig betrachtet werden sollen. Eine Anwendung soll, nachdem der Gültigkeitszeitraum überschritten wurde, eine aktuelle Fassung dieser Liste von der ausstellenden CA herunterladen.

Solche Sperrlisten sind theoretisch recht einfach zu erstellen und zu verwalten, werden jedoch in der Praxis bislang selten verwendet. Das Problem ist, dass ein Programm vor Verwendung eines Schlüssels immer bei der Zertifizierungsstelle rückfragen muss – was voraussetzt, dass eine Internetverbindung besteht. Wenn keine Verbindung besteht, kann das Zertifikat nicht geprüft werden, und dann ist es möglich, dass ein Schlüssel benutzt wird, der bereits Unbefugten bekannt ist.

Struktur einer X.509 v2 CRL

  • Version
  • Erzeuger der CRL
  • Algorithmus für die Signatur
  • Updatezeitpunkt der Ausstellung dieser CRL
  • Updatezeitpunkt der Ausstellung der nächsten CRL
  • Liste der zurückgezogenen Zertifikate (Seriennummer und Zeitpunkt des Widerrufs)
  • Erweiterungen

Probleme

Sperrlisten sind ihrer Definition nach Negativlisten und können somit einem Benutzer keine Auskunft darüber geben, ob ein Zertifikat gültig ist. Ebenso wenig kann sie Auskunft darüber geben, ob ein Zertifikat jemals von einer Zertifizierungsstelle ausgestellt wurde.

Außerdem treffen Sperrlisten Aussagen über die Vergangenheit; es kann anhand einer solchen Liste nicht geprüft werden, ob in einem bestimmten Moment ein Zertifikat zurückgerufen ist.

Ein neueres Protokoll zur Abfrage von Zertifikatsgültigkeiten ist das Online Certificate Status Protocol (OCSP), das entwickelt wurde, um Probleme der Sperrlisten zu beheben. OCSP-Implementationen setzen jedoch oftmals auf Sperrlisten auf, so dass hier die Probleme lediglich verlagert wurden.

Weblinks


Wikimedia Foundation.

Игры ⚽ Нужен реферат?

Schlagen Sie auch in anderen Wörterbüchern nach:

  • Certificate Revocation List — Saltar a navegación, búsqueda Para otros usos de este término, véase CRL (desambiguación). CRL es la sigla de Certificate Revocation List , que significa lista de certificados revocados . En la operación de algunos sistemas criptográficos,… …   Wikipedia Español

  • Certificate revocation list — In the operation of some cryptosystems, usually public key infrastructures (PKIs), a certificate revocation list (CRL) is a list of certificates (or more specifically, a list of serial numbers for certificates) that have been revoked or are no… …   Wikipedia

  • Certificate Revocation List — Liste de révocation de certificats La liste de révocation de certificats (CRL, certificate revocation list) est la liste des identifiants des certificats qui ont été révoqués ou ne sont plus valables et qui ne sont plus dignes de confiance. Un… …   Wikipédia en Français

  • Certificate revocation list — Liste de révocation de certificats La liste de révocation de certificats (CRL, certificate revocation list) est la liste des identifiants des certificats qui ont été révoqués ou ne sont plus valables et qui ne sont plus dignes de confiance. Un… …   Wikipédia en Français

  • certificate revocation list — atšauktų liudijimų sąrašas statusas T sritis informatika apibrėžtis Nebegaliojančių ↑liudijimų (liudijimų, kurių galiojimo laikas baigėsi arba kurie buvo panaikinti dėl įvairių priežasčių, turėtojo prašymu ir pan.) sąrašas, kurį sukuria ir… …   Enciklopedinis kompiuterijos žodynas

  • Revocation list — In the operation of some cryptosystems, usually public key infrastructures (PKIs), a certificate revocation list (CRL) is a list of certificates (or more specifically, a list of serial numbers for certificates) that have been revoked, and… …   Wikipedia

  • Revocation List — Eine Zertifikatsperrliste (engl. Certificate Revocation List – CRL) ist eine Liste, die die Ungültigkeit von Zertifikaten beschreibt. Sie ermöglicht es, festzustellen, ob ein Zertifikat gesperrt oder widerrufen wurde und warum. Zertifikate werden …   Deutsch Wikipedia

  • Authority revocation list — An Authority revocation list (ARL) is a form of certificate revocation list (CRL) but containing certificates issued to Certifying Authorities, contrary to CRL which contain revoked end entity certificates …   Wikipedia

  • Certificate server — Certificate servers validate, or certify, keys as part of a Public key infrastructure. Keys are strings of text generated from a series of encryption algorithms that allow you to secure communication for a group of users. Many Web servers, such… …   Wikipedia

  • Certificate authority — In cryptography, a certificate authority, or certification authority, (CA) is an entity that issues digital certificates. The digital certificate certifies the ownership of a public key by the named subject of the certificate. This allows others… …   Wikipedia

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”