Certificate-peruuttaminen, miten se toimii CRL:n tai OCSP:n kanssa?

SSL-varmenteiden peruuttamisella on ratkaiseva merkitys PKI-ekosysteemin (Public Key Infrastructure) turvallisuuden ja eheyden ylläpitämisessä.

Kun SSL-varmenne on mitätöitävä ennen sen luonnollista päättymispäivää, Certificate Authoritylla (CA) on oltava luotettavat mekanismit, joilla asiakkaille ja selaimille voidaan ilmoittaa, että SSL-varmenteeseen ei enää voida luottaa.

Tämä prosessi auttaa suojaamaan käyttäjiä vaarantuneilta tai vilpillisiltä SSL Certificates -sertifikaateilta, jotka muuten voisivat olla aktiivisia kuukausia tai vuosia.

Certificate Revocation List (CRL) ymmärtäminen

SSL-varmenteiden peruutusluettelot ovat perinteinen tapa julkaista tietoja peruutetuista SSL-varmenteista.

CRL on lähinnä Certificate Authority -viranomaisen allekirjoittama aikaleimalla varustettu luettelo, joka sisältää kaikkien niiden peruutettujen SSL Certificates -varmenteiden sarjanumerot, joiden voimassaoloaika ei ole vielä päättynyt.

Kun selain kohtaa SSL-varmenteen, se voi ladata ja tarkistaa kyseisen CRL-luettelon tarkistaakseen, onko kyseinen SSL-varmenne peruutettu.

Varmenteiden myöntäjät päivittävät CRL-luetteloita yleensä säännöllisin väliajoin, usein 24 tunnin välein tai silloin, kun peruutus on kiireellinen. Jokainen CRL sisältää kriittisiä metatietoja, kuten myöntäjän nimen, voimaantulopäivän ja seuraavan päivityksen ajankohdan.

Vaikka CRL-luettelot tarjoavat kattavan ratkaisun SSL-varmenteiden tilan tarkistamiseen, niistä voi tulla melko laajoja, koska niihin kertyy ajan mittaan peruutettuja SSL-varmenteita. Tämä kokoongelma voi johtaa kaistanleveyden lisääntyneeseen käyttöön ja mahdollisiin suorituskykyvaikutuksiin, kun asiakkaiden on ladattava ja käsiteltävä luetteloita.

Online Certificate Status Protocol (OCSP)

OCSP kehitettiin korjaamaan CRL-luetteloiden rajoituksia tarjoamalla reaaliaikaisia SSL Certificate Status -tietoja.

Koko Certificate Revocation List -tiedoston lataamisen sijasta OCSP:n avulla asiakkaat voivat kysyä tietyn SSL Certificate -varmenteen tämänhetkistä tilaa suoraan Certificate Authority -virastolta. Tämä lähestymistapa vähentää huomattavasti kaistanleveysvaatimuksia ja tarjoaa välittömämpiä peruutustilapäivityksiä kuin CRL-pohjaiset järjestelmät.

Kun selain muodostaa yhteyden SSL-varmenteella suojattuun verkkosivustoon, se voi lähettää OCSP-pyynnön SSL-varmenteen tilan tarkistamiseksi. Varmenteiden myöntäjän ylläpitämä OCSP-vastaaja palauttaa allekirjoitetun vastauksen, jossa ilmoitetaan, onko SSL-varmenne voimassa, peruutettu vai tuntematon.

Tämä prosessi tapahtuu nopeasti ja tehokkaasti, ja se vaatii yleensä vain muutaman kilotavun tiedonsiirron.

OCSP-niputus ja nykyaikaiset parannukset

OCSP-niputus on merkittävä parannus perinteiseen OCSP-malliin. OCSP Stapling -mallissa verkkopalvelin saa määräajoin OCSP-vastauksen Certificate Authority -virastolta ja sisällyttää (nitoo) tämän vastauksen suoraan SSL Certificate/TLS-kättelyyn.

Tämä lähestymistapa poistaa selaimilta tarpeen tehdä erillisiä OCSP-kyselyjä, lyhentää yhteysaikoja ja parantaa yksityisyyttä estämällä Certificate Authority -viranomaiselta yksittäisten SSL Certificates -tarkastusten seuranta.

Nykyaikaiset Trustico®:n myöntämät SSL-sertifikaatit tukevat sekä CRL- että OCSP-peruutustarkistusmenetelmiä, mikä takaa parhaan mahdollisen yhteensopivuuden ja turvallisuuden eri asiakasjärjestelmissä.

Palvelinten ylläpitäjät voivat määrittää järjestelmänsä käyttämään OCSP Stapling -menetelmää, mikä tarjoaa optimaalisen suorituskyvyn ja ylläpitää samalla vankkoja SSL Certificate -validointiprosesseja.

Näiden peruutustarkastusmekanismien käyttöönotto auttaa ylläpitämään SSL-varmenteiden ekosysteemin yleistä turvallisuutta ja suojaa käyttäjiä mahdollisesti vaarantuneilta SSL Certificates -varmenteilta.

Yleiset peruutusskenaariot

SSL Certificatesin peruuttaminen tapahtuu tyypillisesti useissa yleisissä skenaarioissa. Yksityisen avaimen vaarantuminen on yksi kriittisimmistä syistä SSL Certificatesin välittömään peruuttamiseen, sillä se osoittaa, että salattuun viestintään on mahdollisesti luvattomasti päästy käsiksi.

Muita skenaarioita ovat esimerkiksi organisaation nimenmuutokset, palvelimen käytöstä poistaminen tai virheellisten tietojen löytyminen alkuperäisestä SSL Certificate -pyynnöstä.

Trustico®:n kaltaiset Certificate Authorities ylläpitävät tiukkoja menettelyjä peruutuspyyntöjen käsittelemiseksi, jotta PKI-järjestelmän eheys säilyy koskemattomana.