Список отозванных сертификатов (CRL)
Что такое Список отозванных сертификатов (CRL)?
Список отозванных сертификатов (CRL)Подписанный и периодически публикуемый удостоверяющим центром перечень сертификатов, признанных недействительными до истечения их срока действия.
CRL — это подписанный УЦ документ, содержащий серийные номера и даты отзыва сертификатов, которым больше нельзя доверять (например, при компрометации закрытого ключа, смене владельца или ошибочной выдаче). Проверяющие стороны (браузеры, TLS-клиенты) загружают CRL с адреса, указанного в расширении CRLDistributionPoints, и отклоняют любой сертификат, серийный номер которого присутствует в списке. После кэширования CRL работает офлайн, но может становиться большим по объёму и устаревать на часы или дни. Поэтому в современных развёртываниях всё чаще предпочитают OCSP, OCSP stapling, краткосрочные сертификаты и сжатые списки наподобие CRLite.
● Примеры
- 01
УЦ публикует crl.example/ca.crl каждые 24 часа, чтобы клиенты обновляли список отзыва.
- 02
VPN-шлюз загружает CRL своего УЦ при запуске и отказывает в подключении отозванным клиентским сертификатам.
● Частые вопросы
Что такое Список отозванных сертификатов (CRL)?
Подписанный и периодически публикуемый удостоверяющим центром перечень сертификатов, признанных недействительными до истечения их срока действия. Относится к категории Сетевая безопасность в кибербезопасности.
Что означает Список отозванных сертификатов (CRL)?
Подписанный и периодически публикуемый удостоверяющим центром перечень сертификатов, признанных недействительными до истечения их срока действия.
Как защититься от Список отозванных сертификатов (CRL)?
Защита от Список отозванных сертификатов (CRL) обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Список отозванных сертификатов (CRL)?
Распространённые альтернативные названия: CRL, Список отзыва.