Che cosa è un elenco di revoche di certificati?

Un elenco di revoche di certificati (CRL) è un componente di standard di sicurezza (ITU) X.509 della International Telecommunication Union. Secondo lo standard X.509, un'autorità di certificazione (CA) può utilizzare una CRL o mettere una presa su, o esplicitamente revoca, ogni certificato di sicurezza digitale che ha emesso e che non è scaduto. Il CRL viene poi distribuito e utilizzato da vari programmi per computer per confermare la validità dei certificati di sicurezza utilizzati per l'identità di una fonte.

La generazione di un certificato di sicurezza da una CA rientra quello che è chiamato un'infrastruttura a chiave pubblica (PKI). Attraverso una PKI, qualsiasi utente può essere identificato con la chiave pubblica del loro coppia di chiavi di sicurezza, chiave privata dell'utente è l'altra metà della coppia. Un utente poi contatti un CA e, usando la sua chiave pubblica come l'identificazione, chiede un certificato di sicurezza. Dopo un certo grado di vagliare reale identità dell'utente, il CA può rilasciare un certificato che è destinata a chiave pubblica dell'utente. Con questo metodo, il CA agisce come una terza parte fidata, garantendo l'identità dell'utente che è stato rilasciato un certificato.

Un certificato di sicurezza digitale è generalmente data una durata di uno o due anni. Dopo la scadenza del certificato, l'utente deve rinnovare il suo certificato esistente da ri-convalidare la sua identità o richiedendo un nuovo certificato a titolo definitivo. La data di scadenza di un certificato è contenuto nel certificato stesso, in modo da software sa quando per onorare più un certificato scaduto. Ci sono momenti, tuttavia, quando il certificato può essere necessario revocato prima della sua data di scadenza. Per questi casi, una CA deve mantenere un elenco di revoche di certificati in cui sono elencati tutti i certificati che non sono scadute ma non può essere attendibile per qualche ragione.

Un elenco di revoche di certificati contiene una serie di possibili ragioni per la revoca di un certificato. Il più comune è che la chiave privata per il proprietario del certificato non è più sicuro, a questo punto il certificato rimane sulla lista fino alla data di scadenza. In questo caso, l'utente deve generare una nuova coppia di chiavi e richiedere un nuovo certificato.

Ci sono, naturalmente, altri motivi un certificato può apparire nella CRL. Un certificato può essere elencata se è stato sostituito da un altro o c'è qualche cambiamento alle informazioni contenute nel certificato circa il suo proprietario, o se il CA si è stata compromessa, dopo di che la CA stessa apparirà su quello che viene chiamato un elenco un'autorità di revoca (ARL). Un altro motivo di un certificato può essere visualizzato su un CRL è perché il certificato è stato messo in attesa per qualche motivo. Nel caso di un certificato elencato nel portafoglio, può poi essere ripristinato nella prossima CRL distribuito dalla CA. I numerosi e frequenti cambi agli stati di certificati di sicurezza digitali: un elenco di revoche di certificati di solito ha una speranza di vita di circa 24 ore, anche se a volte meno.

  • Rack di server.