CRL – список аннулированных сертификатов SSL

Одним из важных аспектов безопасности сайта является процедура аннулирования SSL сертификатов и их внесения в списки CRL. Как известно, центры сертификации выписывают SSL сертификаты безопасности только после валидации доменного имени и в некоторых случаях после тщательной проверки компании, которой принадлежит этот домен. Благодаря данной процедуре сертификационный центр может обеспечить достоверность информации в SSL сертификате и соответственно гарантирует безопасность защищенного веб-сайта. Все же иногда случается, что безопасность сайта может оказаться под угрозой даже с действующим SSL сертификатом, например, если специальный ключ доступа был утерян или украден. В таких случаях он должен быть аннулирован (отозван). Аннулированные SSL сертификаты заносятся в специальные списки CRL.

Причины аннулирования SSL

Существует множество причин для внесения SSL сертификатов в списки CRL до истечения срока их действия. Вот некоторые из них:

• SSL сертификат содержит неверное название компании или другую неверную информацию
• специальный ключ был утерян или скомпрометирован
• сотрудник, имеющий к нему доступ, уволился с места работы
• нарушение политики безопасности
• защищенный сайт больше не работает и т.д.

К этому перечню можно отнести любые факторы, которые могут способствовать утечке информации во время ее передачи по защищенному каналу. Дабы этого избежать, необходимо запросить отзыв SSL сертификата.

Статус SSL сертификата

Статус SSL сертификата на предмет его аннулирования проверяется браузером перед каждым установлением безопасного соединения по протоколу https. Существует два типа статусов:

1. Аннулирован или же отозван. Процедура аннулирования безвозвратна. Если статус гласит «аннулирован», то чтобы снова защитить Ваш сайт необходимо заново купить SSL сертификат.
2. Временно недоступен. Если же владелец домена, например, не уверен, потерял ли он ключ, он может использовать второй статус - «временно недоступен» - до установления места нахождения секретного ключа. В таком случае, если он нашелся и не был доступен для третьих лиц, этот статус можно отозвать и SSL снова станет действительным.

CRL или списки САС

Как же пользователи веб-ресурса узнают, что SSL аннулирован и защита сайта нарушена? Как раз для этого существуют списки аннулированных сертификатов (в международном варианте - Certificate Revocation Lists, сокращенно CRL), которые содержат следующие данные:

• уникальные серийные номера всех отозванных SSL сертификатов
• название ответственного центра сертификации,
• дату аннулирования,
• актуальную дату,
• дату публикации нового списка CRL.

Каждый список CRL защищен цифровой подписью, которая обеспечивает целостность информации в них и не позволяет третьим лицам внести изменения. Списки CRL регулярно обновляются и публикуются, обеспечивая актуальную информацию о статусе каждого SSL сертификата. Таким образом, браузер пользователя всегда будет знать, можно ли доверять указанному сайту с https соединением и соответственно, разрешать или блокировать доступ к нему.

Публикация списков CRL

Списки CRL создаются и публикуются с определенной периодичностью. Тем не менее в некоторых случаях, CRL могут опубликовать сразу после проведения операции по отзыву. Аннулирование SSL сертификатов и их внесение в списки CRL производит выдавший их центр сертификации. Срок действия списка CRL может колебаться от 1 до 24 часов.

В каких случаях используются списки CRL?

Когда мы имеем дело с сертификатами, мы используем CRL. Например, когда браузер пытается установить https соединение с сайтом, он верифицирует сертификат сервера. В процессе верификации, браузер выбирает способ проверить, не отозван ли SSL сертификат. Если выбран способ проверки по списку отозванных сертификатов CRL, браузер загружает соответствующий файл CRL по адресу, указанному в SSL сертификате и производит его проверку. Если Центр сертификации указал, что данный SSL сертификат отозван, доступ пользователя к сайту будет закрыт. Альтернативным методом спискам CRL является протокол валидации сертификатов, известный под аббревиатурой OCSP (Online Certificate Status Protocol).