Eine Ablaufliste, auch als Certificate Revocation List (CRL) bezeichnet, ist eine Liste von digitalen Zertifikaten, die für ungültig erklärt wurden und nicht mehr vertrauenswürdig sind. CRLs werden in Public Key Infrastructures (PKIs) verwendet, um sicherzustellen, dass Zertifikate, die aufgrund von Schlüsselkompromittierung, Ablauf oder anderen sicherheitsrelevanten Gründen nicht mehr verwendet werden sollten, ordnungsgemäß widerrufen werden.
Hier sind einige wichtige Punkte zur Ablaufliste (CRL):
- Zertifikatswiderruf: Zertifikate können aus verschiedenen Gründen widerrufen werden, darunter Schlüsselkompromittierung, Ablauf des Zertifikats, Änderung der Zertifikatsdaten oder aus Sicherheitsgründen. Ein widerrufenes Zertifikat ist nicht mehr vertrauenswürdig und sollte nicht für die Verschlüsselung, die Authentifizierung oder andere sicherheitsrelevante Zwecke verwendet werden.
- Signiert von der CA: Die CRL wird von der Zertifizierungsstelle (CA) signiert, die das widerrufene Zertifikat ausgestellt hat. Dies stellt sicher, dass die CRL selbst nicht gefälscht wurde und vertrauenswürdig ist.
- Gültigkeitsdauer: Die CRL hat eine begrenzte Gültigkeitsdauer, nach der sie erneuert werden muss. Dies dient dazu, sicherzustellen, dass Benutzer und Systeme immer Zugriff auf aktuelle Informationen über widerrufene Zertifikate haben.
- CRL-Verteilung: Die CRL muss auf sichere Weise verteilt werden, damit alle Systeme, die Zertifikate überprüfen, auf sie zugreifen können. Typischerweise wird die CRL an einem öffentlich zugänglichen Ort oder über Protokolle wie HTTP oder LDAP bereitgestellt.
- Überprüfung: Wenn ein System ein Zertifikat überprüft, muss es auch die entsprechende CRL überprüfen, um sicherzustellen, dass das Zertifikat nicht widerrufen wurde. Wenn ein Zertifikat auf der CRL aufgeführt ist, sollte es als ungültig betrachtet werden.
- Online Certificate Status Protocol (OCSP): Neben CRLs kann auch das OCSP verwendet werden, um in Echtzeit den Status eines Zertifikats bei der ausstellenden CA abzufragen. Dies ermöglicht eine schnellere Überprüfung des Zertifikatsstatus, ohne auf die Aktualisierung einer CRL warten zu müssen.
CRLs sind entscheidend für die Sicherheit von Zertifikaten und die Vertrauenswürdigkeit von PKIs. Sie stellen sicher, dass Zertifikate, die nicht mehr sicher verwendet werden können, ordnungsgemäß zurückgezogen werden. Die regelmäßige Überprüfung von CRLs oder die Verwendung von OCSP ist ein wichtiger Bestandteil der Zertifikatsüberprüfung in sicheren Kommunikationssystemen.