Sperren von Zertifikaten

Es gibt verschiedene Gründe, warum ein Zertifikat  von einem  CA Administrator gesperrt wird:

  • Der  mit dem Zertifikat verbundene private Schlüssel der Entität wurde kompromittiert bzw. ist im Besitz einer nicht autorisierten Person (z.B. Verlust der Smartcard oder Laptop).
  • Der entsprechende Mitarbeiter ist nicht mehr für die Abteilung  tätig  oder das Gerät wird nicht mehr verwendet.
  • Das Zertifikat wurde mit ähnlichen Parametern bereits neu ausgestellt.
  • Das Zertifikat ist abgelaufen.

Nach der Sperrung wird das Zertifikat in der Datenbank der Zertifizierungsstelle selbst gesperrt, sowie in der Sperrliste (Certificate Revocation List  –  CRL)  mit Seriennummer und Sperrgrund  veröffentlicht,  um anzuzeigen, dass die CA das Zertifikat nicht mehr für vertrauenswürdig hält.

Neben einer Basis Sperrliste, die alle gesperrten Zertifikate enthält, gibt es auch Delta Sperrlisten, die häufiger veröffentlicht werden und nur die Änderungen seit der letzten Basissperrliste enthalten.

Der Ort der Sperrlisten ist in der CRL Distribution Point Extension im jeweiligen Zertifikat vermerkt – z.B. als LDAP/HTTP Verweis oder auch eine FTP,CIFS, SMB URL.

Beispielsperrlsite von D-Trust unter http://www.d-trust.net/crl/d-trust_qualified_ca_1_2006.crl

D-TrustRevocationList

siehe auch Zertifikate im Detail und Parameter digitaler Zertifikate

Anwendungen können, falls sie dazu konfiguriert wurden, im Certificate Chaining Prozess die Zertifikate auf den Sperrstatus überprüfen


 Vgl. Microsoft Corporation: „Implementieren und Verwalten der Sicherheit in einem Microsoft Windows 2003 Netzwerk“, S.2-37/2-38.

 

Dieser Beitrag wurde unter PKI: Komponenten und Prozesse veröffentlicht. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.