Zertifikatssperrung

Durch die Sperrung werden die in einem Zertifikat enthaltenen vertrauenswürdigen Sicherheitsanmeldeinformationen vor Ablauf der eigentlichen Gültigkeitsdauer des Zertifikats ungültig. Die Sicherheitsinformationen in einem Zertifikat können aus mehreren Gründen vor Ablauf der Gültigkeitsdauer ihre Vertrauenswürdigkeit verlieren. Beispiele:

  • Wenn der private Schlüssel des Zertifikatsgegenstands gefährdet ist oder dies angenommen wird.

  • Der private Schlüssel einer Zertifizierungsstelle ist gefährdet oder dies wird angenommen.

  • Wenn entdeckt wird, dass ein Zertifikat in betrügerischer Absicht beschafft wurde.

  • Wenn sich der Status des Zertifikatsgegenstands als vertrauenswürdige Einheit geändert hat.

  • Der Name des Zertifikatantragstellers hat sich geändert.

Eine Infrastruktur öffentlicher Schlüssel (PKI) basiert auf der verteilten Überprüfung von Anmeldeinformationen, bei der keine direkte Kommunikation mit der zentralen vertrauenswürdigen Einheit notwendig ist, um Anmeldeinformationen zu bestätigen. Dadurch wird es erforderlich, die Informationen zur Zertifikatssperrung an Einzelpersonen, Computer und Anwendungen zu verteilen, die die Gültigkeit von Zertifikaten prüfen. Die Verteilung von Sperrinformationen und die rechtzeitige Ausführung sind je nach Anwendung und der Implementierung der Zertifikatssperrungsprüfung unterschiedlich.

Der Client muss die Zertifikatsperrung unterstützen, indem er bestimmt, ob das Zertifikat gültig ist oder gesperrt wurde. Zur Unterstützung einer Vielfalt von Szenarios unterstützen die Zertifikatdienste Zertifikatsperrungsmethoden nach Industriestandard. Dazu gehört die Veröffentlichung von Zertifikatsperrlisten (Certificate Revocation Lists, CRLs) und Deltasperrlisten an mehreren Orten, auf die Clients zugreifen können, einschließlich des Active Directory-Verzeichnisdienstes, Webservern und Dateifreigaben in Netzwerken.

Zertifikatsperrlisten sind vollständige, digital signierte Listen mit nicht abgelaufenen Zertifikaten, die gesperrt wurden. Diese Liste wird von Clients abgerufen, die sie dann (auf Grundlage der konfigurierten Gültigkeitsdauer der Zertifikatsperrliste) zwischenspeichern und zum Überprüfen von zur Verwendung vorgelegten Zertifikaten verwenden können. Da Zertifikatsperrlisten groß werden können, können abhängig von der Größe der Zertifizierungsstelle auch Deltasperrlisten veröffentlicht werden. Deltasperrlisten enthalten nur die Zertifikate, die seit der Veröffentlichung der letzten Basiszertifikatsperrliste gesperrt wurden. Auf diese Weise können Clients die kleinere Deltasperrliste abrufen und schnell eine vollständige Liste der gesperrten Zertifikate erstellen. Die Verwendung von Deltasperrlisten ermöglicht außerdem häufigere Veröffentlichungen, da die Größe der Deltasperrliste normalerweise eine geringere Belastung darstellt als die einer vollständigen Zertifikatsperrliste.