Zertifikatsperrliste (CRL)
Was ist Zertifikatsperrliste (CRL)?
Zertifikatsperrliste (CRL)Eine von einer CA signierte, regelmäßig veröffentlichte Liste von Zertifikaten, die vor Ablauf widerrufen wurden; Relying Parties prüfen damit, ob ein Zertifikat noch gültig ist.
Eine CRL ist ein von der CA signiertes Dokument mit Seriennummern und Sperrdaten der Zertifikate, denen nicht mehr vertraut werden soll — typischerweise wegen Kompromittierung des privaten Schlüssels, Identitätsänderung oder Fehlausstellung. Relying Parties (Browser, TLS-Clients) laden die CRL über die in der Erweiterung CRLDistributionPoints angegebene Adresse und lehnen jedes Zertifikat ab, dessen Seriennummer dort steht. CRLs funktionieren nach dem Caching offline, können aber sehr groß werden und mehrere Stunden veraltet sein. Deshalb setzen moderne Deployments zunehmend auf OCSP, OCSP-Stapling, kurzlebige Zertifikate und komprimierte CRLite-ähnliche Listen.
● Beispiele
- 01
Eine CA veröffentlicht alle 24 Stunden crl.example/ca.crl, damit Clients die Sperrliste auffrischen können.
- 02
Ein VPN-Gateway lädt beim Start die CRL seiner CA und weist gesperrte Client-Zertifikate zurück.
● Häufige Fragen
Was ist Zertifikatsperrliste (CRL)?
Eine von einer CA signierte, regelmäßig veröffentlichte Liste von Zertifikaten, die vor Ablauf widerrufen wurden; Relying Parties prüfen damit, ob ein Zertifikat noch gültig ist. Es gehört zur Kategorie Netzwerksicherheit der Cybersicherheit.
Was bedeutet Zertifikatsperrliste (CRL)?
Eine von einer CA signierte, regelmäßig veröffentlichte Liste von Zertifikaten, die vor Ablauf widerrufen wurden; Relying Parties prüfen damit, ob ein Zertifikat noch gültig ist.
Wie schützt man sich gegen Zertifikatsperrliste (CRL)?
Schutzmaßnahmen gegen Zertifikatsperrliste (CRL) kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Zertifikatsperrliste (CRL)?
Übliche alternative Bezeichnungen: CRL, Sperrliste.