En la operación de algunas infraestructuras de llave pública de los sistemas criptográficos generalmente (PKIs), una lista de la revocación del certificado (CRL) del es una lista de los certificados (más exactamente: sus números de serie) cuáles se han revocado, son no más válidos, y no se deben confiar encendido por ninguÌn usuario de sistema.
Hay diversas razones de la revocación definidas en RFC 3280:
revocado: Un certificado irreversible se revoca (y se entra en un CRL) si, por ejemplo, se descubre que el Certificate Authority (CA) había publicado incorrectamente un certificado o una privado-llave está pensado para haber sido comprometido. Los certificados se pueden también revocar para la falta de la entidad identificada de adherirse a los requisitos de la política tales como publicación de documentos falsos, mala representación del comportamiento del software, o violación de cualquier otra política especificada por el operador del CA o su cliente. La razón más común de la revocación es el usuario que no está en la única posesión de la llave privada (e.g el símbolo que contenía la llave privada se ha perdido o se ha robado).
asimiento: Este estado reversible se puede utilizar para notar la invalidez temporal del certificado, por ejemplo cuando el usuario no está seguro si se ha perdido la llave privada. Si, en este ejemplo, la llave privada fue encontrada otra vez y nadie tenía acceso a él, el estado puede ser reinstalado, y el certificado válido otra vez, así está quitando el certificado de CRLs adicional.
Generalmente, un CRL se genera por una parte periódico después de un del calendario y de un bien definidos (opcionalmente) por una parte inmediatamente después que se ha revocado un certificado. El CRL es publicado siempre por el CA que publica los certificados correspondientes. Todo el CRLs tiene curso de la vida de a (a menudo corta) en el cual sean válidos y en cuál pueden ser consultados por un uso PKI-permitido para verificar un certificado de las contrapartes anteriormente su uso. Para prevenir el spoofing o los ataques CRLs del Negación-de-servicio son firmados generalmente por el CA de publicación y por lo tanto para llevar una firma digital. Para validar una confianza anterior específica de CRL en él, el certificado de su CA correspondiente es necesario, que se puede encontrar generalmente en el directorio de a (incluso público).
Las fechas de vencimiento del certificado no son un substituto para un CRL pues el problema puede ser descubierto mientras que no ha expirado el certificado todavía. CRLs u otras técnicas de la validación del certificado es una parte necesaria de cualquier PKI correctamente funcionado como errores en el certificado que revisa y se espera que la gerencia dominante ocurra en operaciones del mundo real. En un ejemplo significativo, un certificado para el Microsoft fue publicado equivocadamente a un individuo desconocido que había presentado con éxito como Microsoft por el CA contratante para mantener el sistema certificado del editor” de ActiveX del “( VeriSign ). Microsoft vio la necesidad de remendar su subsistema de la criptografía así que comprobaría el estado de certificados antes de confiarlos en. Como arreglo a corto plazo, un remiendo fue publicado para el software de Microsoft relevante (más importante Windows) que enumeraba específicamente los dos certificados en la pregunta como " revoked".
Los certificados para los cuales un CRL debe ser mantenido son a menudo el X.509 /los certificados de la llave pública pues este formato es de uso general por esquemas de PKI.
Problemas con todo el CRLs
Las mejores prácticas requieren que dondequiera que y sin embargo el estado del certificado esté mantenido, él deben ser comprobadas siempre que uno quiera confiar en un certificado. Fallando esto, un certificado revocado se puede aceptar incorrectamente como válido. Esto significa que eso utilizar un PKI con eficacia uno debe tener acceso a CRLs actual (es decir acceso de Internet en el caso de un PKI). Este requisito de la validación en línea niega una de las ventajas principales originales de PKI sobre los protocolos simétricos de la criptografía, a saber que el certificado es " authenticating" del uno mismo;. Los sistemas simétricos, e. Kerberos, también dependen de la existencia de los servicios onlines (centro de distribución dominante en el caso del Kerberos).La existencia de un CRL implica la necesidad alguien (o de una cierta organización) de hacer cumplir la política y de revocar los certificados juzgados opuestamente a la política operacional. Si un certificado se revoca equivocadamente, los problemas significativos pueden presentarse. Mientras que el Certificate Authority se encarga con hacer cumplir la política operacional para publicar los certifica es típicamente responsable de determinar si y cuando la revocación es apropiada interpretando la política operacional.
La necesidad de consultar un CRL, o el otro servicio del estado del certificado, antes de aceptar un certificado levanta un ataque potencial del Negación-de-servicio contra el PKI relacionado con el ataque del negación-de-servicio contra el Kerberos por el que un símbolo actual de la autentificación no pueda ser recuperado.
No se sabe ninguna solución comprensiva a estos problemas, aunque hay las soluciones alternativas múltiples para los varios aspectos de ella, algunos cuyo han probado aceptable en la práctica.
Una alternativa a usar CRLs que sea especialmente útil para los clientes del software es el protocolo en línea (OCSP) del estado del certificado del certificado de la validación en línea del protocolo. OCSP tiene la ventaja primaria de requerir menos anchura de banda de la red y así permitiendo estado del tiempo real en tiempo real y cercano comprueba para saber si hay operaciones en grandes cantidades o del elevado valor.
Ver también
lista de la revocación de la autoridad
El confiaba en de tercera persona
Web de la confianza
.
| Random links: | El municipio de la roca del granito, Minnesota | Conferencia del partido laborista (Reino Unido) | Proceso del presupuesto | Benjamin Brown (artista) | Hannibaldus de Hannibaldis |