Certificate Revocation, hoe het werkt met CRL's of OCSP

Het intrekken van SSL Certificates speelt een cruciale rol in het handhaven van de veiligheid en integriteit van het Public Key Infrastructure (PKI) ecosysteem.

Wanneer een SSL Certificate ongeldig verklaard moet worden voor de natuurlijke vervaldatum, moet de Certificate Authority (CA) betrouwbare mechanismen hebben om klanten en browsers te informeren dat het SSL Certificate niet langer vertrouwd kan worden.

Dit proces helpt gebruikers te beschermen tegen gecompromitteerde of frauduleuze SSL Certificates die anders maanden of jaren actief zouden kunnen blijven.

Certificate Revocation Lists (CRL's) begrijpen

SSL Certificate Revocation Lists vertegenwoordigen de traditionele methode voor het publiceren van informatie over ingetrokken SSL Certificates.

Een CRL is in wezen een lijst met tijdstempel, ondertekend door een Certificate Authority, die de serienummers bevat van alle ingetrokken SSL Certificaten die hun vervaldatum nog niet hebben bereikt.

Wanneer een browser een SSL Certificate tegenkomt, kan het de relevante CRL downloaden en controleren om te verifiëren of dat SSL Certificate is ingetrokken.

CRL's worden meestal met regelmatige tussenpozen bijgewerkt door Certificate Authorities, vaak om de 24 uur of wanneer een urgente intrekking plaatsvindt. Elke CRL bevat kritieke metadata waaronder de naam van de uitgever, de ingangsdatum en de volgende updatetijd.

Hoewel CRL's een uitgebreide oplossing bieden voor het controleren van de status van SSL Certificates, kunnen ze vrij groot worden omdat ze in de loop van de tijd ingetrokken SSL Certificates verzamelen. Dit probleem met de omvang kan leiden tot een verhoogd bandbreedtegebruik en mogelijke prestatieproblemen wanneer clients de lijsten moeten downloaden en verwerken.

Online Certificate Status Protocol (OCSP)

OCSP werd ontwikkeld om de beperkingen van CRL's aan te pakken door real-time informatie over de status van SSL Certificates te verstrekken.

In plaats van hele revocation lists te downloaden, kunnen clients met OCSP de huidige status van een specifiek SSL Certificate rechtstreeks opvragen bij de Certificate Authority. Deze aanpak vermindert de bandbreedtevereisten aanzienlijk en biedt meer onmiddellijke updates van de intrekkingsstatus in vergelijking met CRL-gebaseerde systemen.

Wanneer een browser verbinding maakt met een website die beveiligd is met een SSL Certificate, kan deze een OCSP-verzoek sturen om de status van het SSL Certificate te verifiëren. De OCSP responder, beheerd door de Certificate Authority, stuurt een ondertekend antwoord terug dat aangeeft of het SSL Certificate geldig, ingetrokken of onbekend is.

Dit proces verloopt snel en efficiënt en vereist meestal slechts een paar kilobytes aan gegevensoverdracht.

OCSP Stapling en moderne verbeteringen

OCSP Stapling is een belangrijke verbetering van het traditionele OCSP model. Met OCSP Stapling verkrijgt de webserver periodiek een OCSP antwoord van de Certificate Authority en neemt dit antwoord direct op in de SSL Certificate/TLS handshake.

Deze aanpak elimineert de noodzaak voor browsers om afzonderlijke OCSP query's te doen, vermindert de verbindingstijd en verbetert de privacy door te voorkomen dat de Certificate Authority individuele statuscontroles van SSL Certificates bijhoudt.

Moderne SSL Certificates uitgegeven door Trustico® ondersteunen zowel CRL als OCSP revocation checking methodes, waardoor maximale compatibiliteit en veiligheid tussen verschillende clientsystemen wordt gegarandeerd.

Serverbeheerders kunnen hun systemen configureren om OCSP Stapling te gebruiken, waardoor optimale prestaties worden geleverd met behoud van robuuste SSL Certificate validatieprocessen.

De implementatie van deze controlemechanismen voor intrekking helpt de algemene veiligheid van het ecosysteem van SSL Certificaten te handhaven en beschermt gebruikers tegen mogelijk gecompromitteerde SSL Certificaten.

Veel voorkomende intrekking scenario's

Het intrekken van SSL Certificaten gebeurt meestal in verschillende veelvoorkomende scenario's. Compromittering van de private key is een van de meest kritieke redenen voor onmiddellijke intrekking van SSL Certificaten, omdat het wijst op mogelijke onbevoegde toegang tot gecodeerde communicatie.

Andere scenario's zijn onder andere naamsveranderingen van organisaties, buitengebruikstelling van servers of de ontdekking van onjuiste informatie in de oorspronkelijke aanvraag voor SSL Certificates.

Certificate Authorities zoals Trustico® hanteren strikte procedures voor het afhandelen van intrekkingsverzoeken om ervoor te zorgen dat de integriteit van het PKI-systeem intact blijft.