Список отзыва сертификатов
Расширение имени файла | .crl |
---|---|
Тип интернет-СМИ |
приложение/pkix-crl |
Первоначальный выпуск | май 1999 г. |
Контейнер для | Список отзыва сертификатов X.509 |
Стандартный | РФК 2585 |
Веб-сайт | https://www.iana.org/assignments/media-types/application/pkix-crl |
В криптографии список отзыва сертификатов ( CRL ) — это «список цифровых сертификатов , которые были отозваны выдающим центром сертификации (CA) до запланированной даты истечения срока их действия и которым больше нельзя доверять». [ 1 ]
Требуются общедоступные центры сертификации в Web PKI (в том числе на форуме CA/Browser). [ 2 ] ) выдавать CRL для своих сертификатов, и они широко это делают. [ 3 ]
Браузеры и другие проверяющие стороны могут использовать CRL или альтернативные технологии отзыва сертификатов (например, OCSP ). [ 4 ] [ 5 ] или CRLSets (набор данных, полученный из CRL [ 6 ] ), чтобы проверить статус отзыва сертификата. Обратите внимание, что OCSP теряет популярность из-за конфиденциальности. [ 7 ] и производительность [ 8 ] обеспокоенность.
Подписчики и другие стороны также могут использовать ARI. [ 9 ]
Состояния отзыва
[ редактировать ]В RFC 5280 определены два различных состояния отзыва:
- Отозван
- Сертификат необратимо аннулируется, например, если обнаруживается, что центр сертификации (CA) неправильно выдал сертификат или если считается, что закрытый ключ был скомпрометирован. Сертификаты также могут быть отозваны в случае несоблюдения идентифицированной организацией требований политики, например, публикации фальшивых документов, искажения поведения программного обеспечения или нарушения любой другой политики, указанной оператором центра сертификации или его клиентом. Наиболее распространенной причиной отзыва является то, что пользователь больше не является единоличным владельцем закрытого ключа (например, токен, содержащий закрытый ключ, был утерян или украден).
- Держать
- Этот обратимый статус можно использовать для обозначения временной недействительности сертификата (например, если пользователь не уверен, что закрытый ключ утерян). Если в этом примере закрытый ключ был найден и никто не имел к нему доступа, статус можно восстановить, и сертификат снова станет действительным, тем самым удалив сертификат из будущих CRL.
Причины отзыва
[ редактировать ]Причины отзыва, удержания или исключения сертификата из списка в соответствии с RFC 5280 [ 10 ] являются:
unspecified
(0)keyCompromise
(1)cACompromise
(2)affiliationChanged
(3)superseded
(4)cessationOfOperation
(5)certificateHold
(6)removeFromCRL
(8)privilegeWithdrawn
(9)aACompromise
(10)
Обратите внимание, что значение 7 не используется.
Публикация списков отзыва
[ редактировать ]CRL создается и публикуется периодически, часто через определенные промежутки времени. CRL также можно опубликовать сразу после отзыва сертификата. CRL выдается эмитентом CRL, которым обычно является центр сертификации, который также выдал соответствующие сертификаты, но в качестве альтернативы может быть какой-либо другой доверенный орган. У всех CRL есть срок действия, в течение которого они действительны; этот период времени часто составляет 24 часа или меньше. В течение срока действия CRL приложение с поддержкой PKI может обращаться к нему для проверки сертификата перед использованием.
Чтобы предотвратить спуфинг или атаки типа «отказ в обслуживании» , CRL обычно имеют цифровую подпись, связанную с центром сертификации, которым они публикуются. Чтобы проверить конкретный CRL, прежде чем полагаться на него, необходим сертификат соответствующего центра сертификации.
Сертификаты, для которых следует поддерживать CRL, часто представляют собой сертификаты X.509 / открытого ключа , поскольку этот формат обычно используется в схемах PKI.
Отзыв и истечение срока действия
[ редактировать ]Даты истечения срока действия не заменяют CRL. Хотя все сертификаты с истекшим сроком действия считаются недействительными, не все сертификаты с истекшим сроком действия должны быть действительными. CRL или другие методы проверки сертификатов являются необходимой частью любой правильно функционирующей PKI, поскольку в реальных операциях ожидается возникновение ошибок при проверке сертификатов и управлении ключами.
Примечательный пример: сертификат Microsoft был по ошибке выдан неизвестному лицу, которое успешно выдало себя за Microsoft перед центром сертификации, заключившим контракт на обслуживание ActiveX системы «сертификатов издателя» ( VeriSign ). [ 11 ] Microsoft увидела необходимость обновить свою криптографическую подсистему, чтобы проверять состояние сертификатов, прежде чем доверять им. В качестве краткосрочного решения для соответствующего программного обеспечения Microsoft (в первую очередь для Windows) был выпущен патч, в котором два рассматриваемых сертификата были указаны как «отозванные». [ 12 ]
Проблемы со списками отзыва сертификатов
[ редактировать ]Передовая практика требует, чтобы где бы и как бы ни сохранялся статус сертификата, его необходимо проверять всякий раз, когда кто-то хочет полагаться на сертификат. В противном случае отозванный сертификат может быть ошибочно признан действительным. Это означает, что для эффективного использования PKI необходимо иметь доступ к текущим спискам CRL. Это требование онлайновой проверки сводит на нет одно из первоначальных основных преимуществ PKI перед протоколами симметричной криптографии , а именно то, что сертификат является «самоаутентифицирующимся». Симметричные системы, такие как Kerberos, также зависят от наличия онлайн-сервисов ( центра распространения ключей в случае Kerberos).
Существование CRL подразумевает необходимость того, чтобы кто-то (или какая-то организация) обеспечивал соблюдение политики и отзывал сертификаты, которые считаются противоречащими операционной политике. Если сертификат ошибочно отозван, могут возникнуть серьезные проблемы. Поскольку центру сертификации поручено обеспечивать соблюдение операционной политики выдачи сертификатов, он обычно отвечает за определение того, уместно ли и когда отзыв является целесообразным, путем интерпретации операционной политики.
Необходимость обращаться к CRL (или другой службе статуса сертификата) перед принятием сертификата приводит к потенциальной атаке типа «отказ в обслуживании» против PKI. Если принятие сертификата не удалось из-за отсутствия доступного действующего CRL, то никакие операции, зависящие от принятия сертификата, не могут быть выполнены. Эта проблема существует и для систем Kerberos, где невозможность получения текущего токена аутентификации приведет к невозможности доступа к системе.
Альтернативой использованию CRL является протокол проверки сертификата, известный как протокол статуса онлайн-сертификата (OCSP). Основное преимущество OCSP состоит в том, что он требует меньшей пропускной способности сети, что позволяет проверять состояние в реальном времени или почти в реальном времени для операций с большим объемом или высокой стоимостью.
Что касается Firefox 28, Mozilla объявила об отказе от CRL в пользу OCSP. [ 4 ]
Файлы CRL со временем могут стать довольно большими, например, в правительстве США для некоторых учреждений они могут достигать нескольких мегабайт. Поэтому были разработаны дополнительные CRL. [ 13 ] иногда называемые «дельта-CRL». Однако лишь немногие клиенты их реализуют. [ 14 ]
Списки отзыва полномочий
[ редактировать ]Список отзыва центров сертификации (ARL) — это форма CRL, содержащая отозванные сертификаты, выданные центрам сертификации , в отличие от CRL, которые содержат отозванные сертификаты конечных объектов. [ 15 ] [ 16 ]
См. также
[ редактировать ]Ссылки
[ редактировать ]- ^ «Что такое список отзыва сертификатов (CRL)? — Определение с сайта WhatIs.com» . ТехТаржет . Проверено 26 октября 2017 г.
- ^ «Основные требования» . КАБ Форум. Архивировано из оригинала 11 июля 2024 г. Проверено 10 июля 2024 г.
- ^ Коржицкий, Никита; Карлссон, Никлас (2021). Статусы отзыва в Интернете . Конференция по пассивным и активным измерениям. arXiv : 2102.04288 .
- ^ Перейти обратно: а б «Начиная с Firefox 28, Firefox не будет получать CRL во время проверки сертификата EV» . groups.google.com .
- ^ Сантессон, Стефан; Майерс, Майкл; Анкни, Рич; Мальпани, Амбариш; Гальперин, Слава; Адамс, Карлайл (июнь 2013 г.). «RFC 6960: X.509 Инфраструктура открытых ключей Интернета: Протокол статуса онлайн-сертификатов — OCSP» . Целевая группа инженеров Интернета (IETF) . Архивировано из оригинала 15 декабря 2018 г. Проверено 24 ноября 2021 г.
Вместо периодической проверки CRL или в дополнение к ней может возникнуть необходимость получения своевременной информации о статусе отзыва сертификатов. ... OCSP может использоваться для удовлетворения некоторых эксплуатационных требований по предоставлению более своевременной информации об отзыве, чем это возможно с помощью CRL, а также может использоваться для получения дополнительной информации о состоянии.
- ^ «CRLSets» .
- ^ «Некоторые последствия широкого использования OCSP для HTTPS» .
- ^ «Нет, не включать проверку отзыва» .
- ^ «Расширение информации об обновлении автоматизированной среды управления сертификатами (ACME) (ARI)» .
- ^ Бойен, Шэрон; Сантессон, Стефан; Полк, Тим; Хаусли, Расс; Фаррелл, Стивен; Купер, Дэвид (май 2008 г.). «РФК 5280» . www.tools.ietf.org . IETF: 69. раздел 5.3.1, Код причины . Проверено 9 мая 2019 г.
- ^ Роберт Лемос. «Microsoft предупреждает о похищенных сертификатах — CNET News» . News.cnet.com . Проверено 9 мая 2019 г.
- ^ «Бюллетень по безопасности Microsoft MS01-017: Ошибочные цифровые сертификаты, выданные VeriSign, представляют опасность подделки» . Technet.microsoft.com. 20 июля 2018 г. Проверено 9 мая 2019 г.
- ^ Бойен, Шэрон; Сантессон, Стефан; Полк, Тим; Хаусли, Расс; Фаррелл, Стивен; Купер, Дэвид (май 2008 г.). «RFC 5280 — Профиль сертификата инфраструктуры открытых ключей Internet X.509 и списка отзыва сертификатов (CRL)» . Tools.ietf.org . Проверено 9 мая 2019 г.
- ^ Архив документов (20 марта 2018 г.). «Настройка периодов перекрытия CRL и дельта-CRL» . Документы Майкрософт . Проверено 25 июня 2020 г.
- ^ IBM (04 февраля 2021 г.). «Настройка LDAP-серверов» . Центр знаний IBM . Проверено 18 февраля 2021 г.
- ^ ИБМ. «Создание точки распространения ARL» . Центр знаний IBM . Проверено 18 февраля 2021 г.