Preskocit navigáciu

CRL


CRL ( Certificate Revocation List ) je zoznam zrušených certifikátov, ktorým bola ukončená platnosť certifikátu. Každý certifikát, ktorý bol vydaný certifikačnou autoritou (CA) má pevnú dobu platnosti. Niekedy je nutné túto platnosť predčasne ukončiť, aby nedošlo k zneužitiu súkromného kľúča držiteľa certifikátu. Toto môže nastať napr. pri porušení bezpečnosti súkromného kľúča, strate, či krádeži alebo pri porušení pravidiel CA. Tiež sa zneplatnenie vykoná na vyžiadanie držiteľa z dôvodu ukončenia pracovného pomeru v rezorte obrany, alebo zmeny funkcie. Vždy by mal držiteľ certifikatu čo najskôr požiadať certifikačnú´autoritu o zrušenie certifikátu. CRL je  databáza certifikátov, ktorých platnosť bola zrušená alebo predčasne ukončená. 
Pristup k CRL je dôležitý  z dôvodu overovania platnosti certifikátu. Preto musí byť CRL pravidelne aktualizované. CA pravidelne vydáva a hlavne zverejňuje zoznam zrušených certifikátov. CRL je pravidelne vydávané po 12 alebo 24 hodinách a to aj vtedy, keď od vydania posledného CRL nedošlo k zrušeniu žiadneho certifikátu. CRL je pravidelne zverejňované  na verejne dostupnon serveri, na ktorom sú dostupné k nahliadnutiu pre kohokoľvek a kedykoľvek na internetových stránkach (na webe). Všetky CRL, ktoré vydala CA sa musia archivovať, aby si používateľ mohol overiť, či je certifikát skutočne platný a bol vydaný skutočne danému užívateľovi.
Užívatelia elektronicky podpísaného dokumentu si okrem overovania svojho vlastného elektronického podpisu a certifikátu, by nemali zabúdať aj na skontrolovanie, či je certifikát odosielateľa ešte platný a nie je uvedený v CRL. Mohlo by potom prísť k podpísaniu dokumentu neplatným elektronickým podpisom. Toto bude softvérovo ošetrené, aby užívateľ bol vopred informovaný a nutnosti obnovy platnosti certifikátu svojho elektronického podpisu.

Zoznamy zrušených  certifikátov majú i svoje nevýhody. Mohla by nastať situácia, kedy v čase medzi dvomi aktualizáciami CRL skončí platnosť certifikátu. Aby sa tomuto predišlo bol navrhnutý nový spôsob zisťovania platnosti certifikátu pomocou protokolu OCSP (On-line Certificate Status Protocol).



Autor: . - Dátum:
Čítanosť: 33615
Verzia pre tlač

Skočiť na menu


Share