Soll ein gültiges, noch nicht abgelaufenes Zertifikat aus dem Verkehr gezogen werden, muss es widerrufen werden. Hierfür pflegen die Zertifizierungsstellen entsprechende Sperrlisten, in welchen die digitalen Fingerabdrücke der widerrufenen Zertifikate aufgelistet sind. Sie müssen bei der Gültigkeitsprüfung abgefragt werden.
Il est parfois nécessaire qu'un certificat délivré par une autorité de certification soit retiré avant sa date d'expiration. Pour ce faire, une autorité de certification tient à jour une liste de révocation. Il s'agit d'un fichier signé avec une date d'expiration relativement courte, qui est utilisé en combinaison avec le certificat pour vérifier sa validité.
Sperrlisten (Certificate Revocation Lists, CRL)
Damit überprüft werden kann, ob die von einer PKI ausgestellten Zertifikate noch für die Verwendung freigegeben sind, muss diese Information den Kommunikationspartnern zur Verfügung gestellt werden. Wird ein Zertifikat z.B. aufgrund eines Diebstahls widerrufen bzw. gesperrt, wird dessen Seriennummer in einer Sperrliste (engl. Certificate Revocation List, CRL) hinterlegt.
Für das Widerrufen von Zertifikaten können die folgenden Gründe angegeben werden:
| Code | Désignation | Description |
|---|---|---|
| 0 | Non spécifié | Il s'agit du paramètre par défaut, qui indique qu'il n'y a pas de raison particulière pour la révocation. |
| 1 | Compromis clé | La clé privée d'un certificat a été dérobée ou connue d'une autre manière par des tiers non autorisés. |
| 2 | CA Compromise | La clé privée de l'autorité de certification a été dérobée ou connue d'une autre manière par des tiers non autorisés. |
| 3 | Affiliation Changed | Si le contenu du certificat a changé (par ex. le nom de l'utilisateur), un nouveau certificat doit être émis. |
| 4 | Superseded | Le certificat révoqué a été remplacé par un nouveau certificat. |
| 5 | Cessation d'activité | L'exploitation du service faisant partie du certificat a été interrompue, par exemple parce qu'il existe un nouveau service sous un autre nom. |
| 6 | Certificate Hold | Le certificat est révoqué temporairement. Ce type de révocation est le seul qui permette d'annuler la révocation ultérieurement. |
| 8 | Remove from CRL | Si un certificat a été révoqué avec le motif "Certificate Hold" et que des listes de blocage delta sont utilisées, le certificat révoqué avec ce code est maintenu dans la liste de blocage delta jusqu'à ce que l'entrée dans la liste de blocage principale soit supprimée. |
| -1 | Unrevoke | Si un certificat a été révoqué avec le motif "Certificate Hold", ce code permet de le débloquer par ligne de commande. De même, le code d'auditÉvénement 4870 l'annulation de la révocation d'un certificat est signalée par ce code. |
Die durchgehende Verfügbarkeit der CRL ist deutlich wichtiger als die der CA selbst: Muss der Sperrstatus eines Zertifikats von einem Computer überprüft werden, und ist eine gültige CRL zu diesem Zeitpunkt nicht verfügbar, schlägt die Prüfung fehl. Dies ist insbesondere aufgrund der sehr kurzen Gültigkeitszeiträume der CRL (in der Regel wenige Tage) äußerst kritisch.
Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.
Zur Ermittlung der zeitlichen Gültigkeit einer CRL stehen bis zu drei Felder zur Verfügung:
| Bezeichnung (englisch) | Description |
|---|---|
| This Update | Dieses Feld enthält das Datum, an welchem die Sperrliste signiert wurde, und damit dessen Gültigkeitszeitraum beginnt. Microsoft-Zertifizierungsstellen setzen den Wert zehn Minuten vor die aktuelle Uhrzeit, um Differenzen der Systemzeit (engl. „Clock Skew“) der verschiedenen Teilnehmer auszugleichen. |
| Next Update | Dieses Feld enthält das Datum, an welchem die Sperrliste ungültig wird und durch eine neue Sperrliste ersetzt werden muss. Microsoft-Zertifizierungsstellen setzen den Wert zehn Minuten in die Zukunft, um Differenzen der Systemzeit der verschiedenen Teilnehmer auszugleichen. |
| Next Publishing Date | Dieses optionale Feld enthält das Datum, an welchem eine neue Sperrliste durch die Zertifizierungsstelle ausgestellt werden soll. Clients, die die alte Sperrliste noch in ihrem Cache haben, können diese bis zum effektiven Ablaufdatum („Next Update“) weiterhin verwenden, haben aber die Möglichkeit, bereits eine neue Sperrliste herunterzuladen (diese Funktion wird Pre-Fetching genannt). Die Verwendung dieses Feldes bei der Ausstellung von Sperrlisten wird auch CRL-Überlappung (CRL Overlapping) genannt. |
Die „Next Publishing Date“ Erweiterung der Zertifikatsperrliste ist proprietär für die Microsoft-Zertifizierungsstelle. Aus diesem Grund ist sie als nicht kritisch markiert, da sie nicht von allen Anwendungen korrekt interpretiert wird.
Der Speicherort, von dem die aktuelle CRL bezogen werden kann (z.B. ein Webserver) wird über das CDP-Attribut (engl. Certificate Revocation List Distribution Point) innerhalb der Zertifikate bekanntgegeben.
Ein deutlicher Nachteil der Verwendung von CRLs ist, dass sie mit der Zeit sehr groß werden können, wenn viele Zertifikate widerrufen werden. Eine CRL sollte aus Gründen der Aktualität und somit letztendlich der Sicherheit einen möglichst kurzen Gültigkeitszeitraum (oft nur wenige Tage) haben.
Die CRLs müssen bei jeder Aktualisierung von allen Systemen und Anwendungen, die eine Sperrlistenprüfung durchführen, heruntergeladen werden, was sich mit zunehmendem Wachstum der CRL in der Auslastung des Netzwerks und entsprechenden Wartezeiten bei der Validierung von Zertifikaten bemerkbar machen kann.
Die Microsoft-Zertifizierungsstelle entfernt die Seriennummern abgelaufener Zertifikate nach deren Ablauf aus den ausgestellten Sperrlisten, um deren Größe möglicht gering zu halten.
Die Microsoft-Zertifizierungsstelle hält alle noch nicht abgelaufenen Zertifikatsperrlisten in der Zertifizierungsstellen-Datenbank vor. Eine zu häufige Ausstellung von Zertifikatsperrlisten kann sich somit auf die Größe der Zertifizierungsstellen-Datenbank auswirken.
Dieses Problem kann zum Teil mit Delta CRLs umgangen werden. Diese Dateien werden in kürzeren Abständen zusätzlich zu einer regulären CRL (der Base CRL) erzeugt und enthalten lediglich die Änderungen seit der letzten Veröffentlichung der Base CRL. Durch die kurze Laufzeit der Delta CRLs muss man aber auch eine deutlich reduzierte Reaktionszeit bei einem Ausfall der Zertifizierungsstelle einplanen, sodass der Einsatz von Delta CRLs nur dann empfohlen werden kann, wenn eine entsprechende personelle Abdeckung sowie geeignete Notfallmaßnahmen definiert sind.
Ein generelles Problem von CRLs ist, dass sie ständig im Zugriff gehalten werden müssen. Üblicherweise speichern Clients eine CRL zwar zwischen, jedoch erhöht sich insbesondere durch kürzere Gültigkeitszeiträume aufgrund von Delta CRLs auch die Anzahl der Erneuerungen dieses Caches. Kann ein Client keine aktuelle CRL herunterladen, weil der CDP zu diesem Zeitpunkt nicht verfügbar ist, und ist die Kopie im Cache abgelaufen, wird das zu überprüfende Zertifikat als nicht vertrauenswürdig eingestuft.
Aufgrund dieser Problematik sind einige Browserhersteller mittlerweile sogar dazu übergegangen, den Sperrstatus von digitalen Zertifikaten im Internet nicht mehr durch ihre Produkte überprüfen zu lassen, wenn die CRLs nicht abgerufen werden können. Dies stellt in einer hoch sicherheitskritischen Unternehmensumgebung jedoch keine Option dar.
Protocole de statut des certificats en ligne (OCSP)
Eine Alternative zu Sperrlisten stellt das Online-Zertifikatsstatusprotokoll (engl. Online Certificate Status Protocol, OCSP) dar.
Anstelle des Downloads einer (vermeintlich großen) CRL fragt ein Client für jedes zu prüfende Zertifikat bei einem sog. Online-Responder den Sperrstatus ab und erhält eine signierte Antwort, ob das Zertifikat gesperrt wurde oder nicht.
Für eine ausführliche Beschreibung siehe Artikel „Principes de base du répondeur en ligne (Online Certificate Status Protocol, OCSP)„ .
Liens complémentaires :
- Principes de base des infrastructures à clés publiques (PKI)
- Révocation d'un certificat délivré
- Consulter et supprimer le cache d'adresses des listes de blocage (CRL URL Cache)
- Configurer le „Magic Number“ pour le répondeur en ligne
- Consultation du tableau des listes de blocage de la base de données des autorités de certification
- Comment est formé le numéro de série d'un certificat ?
- Configurer le "bon" déterministe pour le répondeur en ligne (OCSP)
Sources externes
- RFC 5280: Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile (Internet Engineering Task Force)
- Heartbleed (Wikipedia)
- Quel est le statut de la vérification des révocations dans les navigateurs ? (Ryan Hurst)
Français 
Deutsch 
English
Les commentaires sont fermés.