Zertifikatsperrliste - LinkFang.de





Zertifikatsperrliste


Eine Zertifikatsperrliste (englisch certificate revocation list, CRL) ist eine Liste, die die Ungültigkeit von Zertifikaten beschreibt. Sie ermöglicht es, festzustellen, ob ein Zertifikat gesperrt oder widerrufen wurde und warum.

Zertifikate werden gesperrt oder widerrufen, wenn deren zugehörige Schlüssel z. B. nicht mehr sicher sind, weil sie in falsche Hände geraten sind oder „geknackt“ wurden – in solchen Fällen muss das Zertifikat noch vor dem eigentlichen Ablaufdatum gesperrt werden, damit der Schlüssel nicht weiter verwendet wird. Ein anderer Grund für die Sperrung oder den Widerruf eines Zertifikats kann ein falscher Zertifikatsinhalt sein, beispielsweise im Fall einer Namensänderung. Zertifikatssperrlisten sind daher ein wichtiger Teil der Public Key Infrastructure.

Eine Sperre (engl. hold) ist temporär und kann aufgehoben werden (z. B. wenn man nicht sicher ist, ob der private Schlüssel verloren/kompromittiert ist, man aber sichergehen will), ein Widerruf (engl. revocation) ist endgültig.

Erklärt eine Zertifizierungsstelle (engl. certificate authority, CA) ein Zertifikat (oder mehrere) für ungültig, trägt es die Seriennummer dieses Zertifikats in die Certificate Revocation List ein. Diese wird immer dann abgefragt, wenn ein Programm bei der Zertifizierungsstelle anfragt, ob ein bestimmtes Zertifikat gültig ist (was vor jeder Verwendung des Schlüssels geschehen sollte).

Die Sperrliste enthält einen Zeitstempel und ist zum Schutz vor Manipulation selbst durch eine digitale Signatur gesichert. Somit kann eine Software, die diese Sperrliste auswertet, prüfen, ob die Integrität der Sperrliste gewährleistet ist und ob sie von einem vertrauenswürdigen Herausgeber stammt.

Zu der Sperrliste gehört auch ein Gültigkeitszeitraum, außerhalb dessen die Informationen in der Liste eben nicht mehr als gültig betrachtet werden sollen. Eine Anwendung soll, nachdem der Gültigkeitszeitraum überschritten wurde, eine aktuelle Fassung dieser Liste von der ausstellenden CA herunterladen.

Solche Sperrlisten sind theoretisch recht einfach zu erstellen und zu verwalten, werden jedoch in der Praxis bislang selten verwendet. Das Problem ist, dass ein Programm vor Verwendung eines Schlüssels immer bei der Zertifizierungsstelle rückfragen muss – was voraussetzt, dass eine Internetverbindung besteht. Wenn keine Verbindung besteht, kann das Zertifikat nicht geprüft werden, und dann ist es möglich, dass ein Schlüssel benutzt wird, der bereits Unbefugten bekannt ist.

Struktur einer X.509 v2 CRL

  • Version
  • Erzeuger der CRL
  • Algorithmus für die Signatur
  • Updatezeitpunkt der Ausstellung dieser CRL
  • Updatezeitpunkt der Ausstellung der nächsten CRL
  • Liste der zurückgezogenen Zertifikate (Seriennummer und Zeitpunkt des Widerrufs)
  • Erweiterungen

Probleme

Sperrlisten sind ihrer Definition nach Negativlisten und können somit einem Benutzer keine Auskunft darüber geben, ob ein Zertifikat gültig ist. Ebenso wenig kann sie Auskunft darüber geben, ob ein Zertifikat jemals von einer Zertifizierungsstelle ausgestellt wurde.

Außerdem treffen Sperrlisten Aussagen über die Vergangenheit; es kann anhand einer solchen Liste nicht geprüft werden, ob in einem bestimmten Moment ein Zertifikat zurückgerufen ist.

Ein neueres Protokoll zur Abfrage von Zertifikatsgültigkeiten ist das Online Certificate Status Protocol (OCSP), das entwickelt wurde, um Probleme der Sperrlisten zu beheben. OCSP-Implementationen setzen jedoch oftmals auf Sperrlisten auf, so dass hier die Probleme lediglich verlagert wurden.

Weblinks


Kategorien: Digitale Zertifikate

Quelle: Wikipedia - http://de.wikipedia.org/wiki/Zertifikatsperrliste (Vollständige Liste der Autoren des Textes [Versionsgeschichte])    Lizenz: CC-by-sa-3.0

Änderungen: Alle Bilder mit den meisten Bildunterschriften wurden entfernt. Ebenso alle zu nicht-existierenden Artikeln/Kategorien gehenden internen Wikipedia-Links (Bsp. Portal-Links, Redlinks, Bearbeiten-Links). Entfernung von Navigationsframes, Geo & Normdaten, Mediadateien, gesprochene Versionen, z.T. ID&Class-Namen, Style von Div-Containern, Metadaten, Vorlagen, wie lesenwerte Artikel. Ansonsten sind keine Inhaltsänderungen vorgenommen worden. Weiterhin kann es durch die maschinelle Bearbeitung des Inhalts zu Fehlern gerade in der Darstellung kommen. Darum würden wir jeden Besucher unserer Seite darum bitten uns diese Fehler über den Support mittels einer Nachricht mit Link zu melden. Vielen Dank!

Stand der Informationen: August 201& - Wichtiger Hinweis: Da die Inhalte maschinell von Wikipedia übernommen wurden, ist eine manuelle Überprüfung nicht möglich. Somit garantiert LinkFang.de nicht die Richtigkeit und Aktualität der übernommenen Inhalte. Sollten die Informationen mittlerweile fehlerhaft sein, bitten wir Sie darum uns per Support oder E-Mail zu kontaktieren. Wir werden uns dann innerhalb von spätestens 10 Tagen um Ihr Anliegen kümmern. Auch ohne Anliegen erfolgt mindestens alle drei Monate ein Update der gesamten Inhalte.