Återkallande av certifikat, hur det fungerar med CRL eller OCSP

Återkallelse av SSL Certificates spelar en avgörande roll för att upprätthålla säkerheten och integriteten i ekosystemet Public Key Infrastructure (PKI).

När ett SSL-certifikat måste ogiltigförklaras före det naturliga utgångsdatumet måste Certificate Authority (CA) ha tillförlitliga mekanismer för att informera klienter och webbläsare om att SSL-certifikatet inte längre är betrott.

Denna process hjälper till att skydda användare från komprometterade eller bedrägliga SSL Certificates som annars skulle kunna vara aktiva i månader eller år.

Förståelse av Certificate Revocation Lists (CRL)

SSL Certificate Revocation Lists är den traditionella metoden för att publicera information om återkallade SSL Certificates.

En CRL är i huvudsak en tidsstämplad lista som signerats av en Certificate Authority och som innehåller serienumren för alla återkallade SSL Certificates som ännu inte har nått sitt utgångsdatum.

När en webbläsare stöter på ett SSL Certificate kan den ladda ner och kontrollera relevant CRL för att verifiera om det SSL Certificates har återkallats.

CRL:er uppdateras vanligtvis av Certificate Authorities med jämna mellanrum, ofta var 24:e timme eller när en brådskande återkallelse sker. Varje CRL innehåller viktiga metadata, inklusive utfärdarens namn, giltighetsdatum och nästa uppdateringstidpunkt.

Även om CRL:er är en heltäckande lösning för statuskontroll av SSL Certificates kan de bli ganska stora eftersom de ackumulerar återkallade SSL Certificates över tid. Detta storleksproblem kan leda till ökad bandbreddsanvändning och potentiella prestandapåverkan när klienter behöver ladda ner och bearbeta listorna.

OCSP (Online Certificate Status Protocol)

OCSP utvecklades för att hantera begränsningarna med CRL:er genom att tillhandahålla information om status för SSL Certificates i realtid.

Istället för att ladda ner hela Revocation Lists gör OCSP det möjligt för klienter att fråga om den aktuella statusen för ett specifikt SSL Certificates direkt från Certificate Authority. Detta tillvägagångssätt minskar bandbreddskraven avsevärt och ger mer omedelbara uppdateringar av återkallningsstatus jämfört med CRL-baserade system.

När en webbläsare ansluter till en webbplats som är säkrad med ett SSL Certificates kan den skicka en OCSP-begäran för att verifiera SSL Certificates status. OCSP-svararen, som drivs av Certificate Authority, kommer att returnera ett signerat svar som anger om SSL Certificates är giltigt, återkallat eller okänt.

Denna process sker snabbt och effektivt och kräver vanligtvis bara några kilobyte dataöverföring.

OCSP Stapling och moderna förbättringar

OCSP Stapling innebär en betydande förbättring av den traditionella OCSP-modellen. Med OCSP Stapling hämtar webbservern regelbundet ett OCSP-svar från Certificate Authority och inkluderar (staplar) detta svar direkt i SSL Certificates/TLS handskakning.

Detta tillvägagångssätt eliminerar behovet av att webbläsarna gör separata OCSP-förfrågningar, vilket minskar anslutningstiderna och förbättrar integriteten genom att förhindra Certificate Authority från att spåra enskilda SSL Certificates statuskontroller.

Moderna SSL Certificates utfärdade av Trustico® stöder både CRL- och OCSP-metoder för kontroll av återkallelse, vilket garanterar maximal kompatibilitet och säkerhet mellan olika klientsystem.

Serveradministratörer kan konfigurera sina system för att använda OCSP Stapling, vilket ger optimal prestanda samtidigt som robusta valideringsprocesser för SSL Certificates upprätthålls.

Implementeringen av dessa mekanismer för kontroll av återkallelse bidrar till att upprätthålla den övergripande säkerheten i ekosystemet för SSL-certifikat och skyddar användare från potentiellt komprometterade SSL Certificates.

Vanliga scenarier för återkallelse

Återkallande av SSL Certificates sker vanligtvis i flera vanliga scenarier. Kompromittering av Private Key är ett av de mest kritiska skälen till omedelbar återkallelse av SSL Certificates, eftersom det indikerar potentiell obehörig åtkomst till krypterad kommunikation.

Andra scenarier är att organisationen byter namn, att servern tas ur drift eller att felaktig information upptäcks i den ursprungliga begäran om SSL Certificates.

Certificate Authorities som Trustico® har strikta rutiner för hantering av begäran om återkallelse för att säkerställa att PKI-systemets integritet förblir intakt.