Skip to main content

Τι είναι μια λίστα ανάκλησης πιστοποιητικών;

Μια λίστα ανάκλησης πιστοποιητικών (CRL) αποτελεί στοιχείο των διεθνών τηλεπικοινωνιακών συνδικάτων (ITU) X.509.Σύμφωνα με το πρότυπο X.509, μια αρχή πιστοποιητικών (CA) μπορεί να χρησιμοποιήσει ένα CRL για να θέσει σε επαφή ή να ανακαλέσει ρητά, οποιοδήποτε πιστοποιητικό ψηφιακής ασφάλειας που έχει εκδώσει και το οποίο δεν έχει λήξει.Στη συνέχεια, το CRL διανέμεται και χρησιμοποιείται από διάφορα προγράμματα υπολογιστών για να επιβεβαιώσει την εγκυρότητα των πιστοποιητικών ασφαλείας που χρησιμοποιούνται για την ταυτότητα μιας πηγής.

Η δημιουργία ενός πιστοποιητικού ασφαλείας από ένα CA πέφτει κάτω από αυτό που ονομάζεται δημόσιο κλειδί υποδομή (PKI).Μέσω ενός PKI, οποιοσδήποτε χρήστης μπορεί να αναγνωριστεί από το δημόσιο κλειδί του ζεύγους κλειδιών ασφαλείας, το ιδιωτικό κλειδί των χρηστών είναι το άλλο μισό του ζεύγους.Στη συνέχεια, ένας χρήστης έρχεται σε επαφή με ένα CA και, χρησιμοποιώντας το δημόσιο κλειδί του ως αναγνώριση, ζητά ένα πιστοποιητικό ασφαλείας.Μετά από κάποιο μέτρο ελέγχου της πραγματικής ταυτότητας των χρηστών, η CA μπορεί στη συνέχεια να εκδώσει ένα πιστοποιητικό που συνδέεται με το δημόσιο κλειδί των χρηστών.Με αυτή τη μέθοδο, η CA ενεργεί ως αξιόπιστος τρίτος, εγγυώντας την ταυτότητα του χρήστη που έχει εκδοθεί πιστοποιητικό.Μετά τη λήξη του πιστοποιητικού, ο χρήστης πρέπει να ανανεώσει το υπάρχον πιστοποιητικό του, επικυρώντας ξανά την ταυτότητά του ή ζητώντας εντελώς ένα νέο πιστοποιητικό.Η ημερομηνία λήξης ενός πιστοποιητικού περιλαμβάνεται στο ίδιο το πιστοποιητικό, οπότε το λογισμικό υπολογιστών γνωρίζει πότε να μην τιμάται πλέον ένα πιστοποιητικό που έχει λήξει.Ωστόσο, υπάρχουν φορές, όταν ένα πιστοποιητικό μπορεί να χρειαστεί να ανακληθεί πριν από την ημερομηνία λήξης του.Για αυτές τις περιπτώσεις, η CA πρέπει να διατηρήσει μια λίστα ανάκλησης πιστοποιητικών που απαριθμεί τα πιστοποιητικά που δεν έχουν λήξει, αλλά δεν μπορούν να εμπιστευτούν για κάποιο λόγο.

Μια λίστα ανάκλησης πιστοποιητικών περιέχει έναν αριθμό πιθανών λόγων για την ανάκληση ενός πιστοποιητικού.Το πιο συνηθισμένο είναι ότι το ιδιωτικό κλειδί για τον ιδιοκτήτη του πιστοποιητικού δεν είναι πλέον ασφαλής, οπότε το πιστοποιητικό παραμένει στην καταχώριση μέχρι την ημερομηνία λήξης του.Σε αυτή την περίπτωση, ο χρήστης πρέπει να δημιουργήσει ένα νέο ζεύγος κλειδιών και να ζητήσει ένα εντελώς νέο πιστοποιητικό.

Υπάρχουν, φυσικά, άλλοι λόγοι που μπορεί να εμφανιστεί ένα πιστοποιητικό στο CRL.Ένα πιστοποιητικό μπορεί να αναφερθεί εάν έχει αντικατασταθεί από άλλο ή υπάρχει κάποια αλλαγή στις πληροφορίες που περιέχονται στο πιστοποιητικό σχετικά με τον ιδιοκτήτη του ή εάν η ίδια η ΑΠ έχει παραβιαστεί, οπότε η ίδια η CA θα εμφανιστεί σε ό, τι ονομάζεται λίστα ανάκλησης Αρχών(ARL).Ένας άλλος λόγος για τον οποίο ένα πιστοποιητικό μπορεί να εμφανιστεί σε ένα CRL είναι επειδή το πιστοποιητικό τίθεται σε αναμονή για κάποιο λόγο.Στην περίπτωση ενός πιστοποιητικού που αναφέρεται ως πραγματοποιείται, μπορεί στη συνέχεια να αποκατασταθεί στο επόμενο CRL που διανέμεται από την CA.Οι πολλές, συχνές αλλαγές στις καταστάσεις των πιστοποιητικών ψηφιακής ασφάλειας σημαίνουν μια λίστα ανάκλησης πιστοποιητικών συνήθως έχει προσδόκιμο ζωής περίπου 24 ωρών, αν και μερικές φορές λιγότερο.