|
 X.509
|
X.509 CRL |
| |
|
|
|
X.509 sieht als Widerrufsmechanismus Listen vor, obwohl auch andere Mechanismen verwendet werden können. X.509 unterscheidet zwischen dem Zeitpunkt, an dem ein Zertifikat durch eine CA widerrufen wurde, und dem Zeitpunkt, an dem dieser erstmals veröffentlicht wurde.
Um Konsistenz und Prüfbarkeit aufrechtzuerhalten muss eine CA Aufzeichnungen über den Widerruf aufbewahren, Widerrufsinformation zur Verfügung stellen bzw. CRLs veröffentlichen, auch wenn kein Eintrag existiert.
Eine CRL ist eine, von einem CA-Zertifikat, signierte Liste von widerrufenen Zertifikaten.
|
X.509 Evolution |
|
1. Ausgabe: 1988 |
Version 1 |
Version 1 |
|
2. Ausgabe 1994 |
Version 2 |
Version 1 |
|
3. Ausgabe: 1997 |
Version 3 |
Version 2 |
|
4. Ausgabe: 2000 |
Version 3 |
Version 2 |
|
 |
 |
 |
|
 |
|
CRL Format |
 |
Version Number |
|
Signature Algorithm |
|
Issuer |
|
This Update |
|
Next Update |
|
revoked Certificates: Serial Number, Date of Revocation, v2: CRL Entry Extension: Reason Code |
|
v2, CRL Extensions |
|
Versionsnummer |
Indiziert die Version der CRL und damit den erlaubten Inhalt.
|
Signaturalgorithmus |
Indiziert das Hash-Verfahren und den Signaturalgorithmus, die verwendet wurden, um die CRL zu signieren.
|
Aussteller |
Beinhaltet den Namen des Ausstellers der CRL als Distinguished Name.
|
This Update |
Definiert den Zeitpunkt, an dem diese CRL veröffentlicht wurde
|
Next Update |
Definiert den Zeitpunkt, wann die nächste CRL ausgestellt werden wird.
|
widerrufene Zertifikate |
Die Liste der "revoked Certificates" beinhaltet die Seriennummer sowie den Zeitpunkt des Widerrufs des Zertifikates.
Mit Version 2 wurde die CRL Entry Extension "Reason Code" eingeführt um unterschiedliche Widerrufsgründe berücksichtigen zu können.
|
Reason Codes |
|
unspezifiziert: (0) |
|
Key Compromise: (1) Der private Schlüssel ist oder könnte kompromittiert worden sein, nur bei Endzertifikaten |
|
CA Compromise: (2) Der private Schlüssel einer CA ist oder könnte kompromittiert worden sein. |
|
Affiliation Changed: (3) Die "Zugehörigkeit" d.h. der Name oder andere Informationen über den Inhaber haben sich geändert |
|
Superseeded: (4) Das Zertifikat wurde durch ein neueres abgelöst. |
|
Cessation of Operation: (5) Das Zertifikat wird nicht mehr länger für den ausgestellten Zweck benötigt. |
|
Certificate Hold: (6) Das Zertifikat ist (vorübergehend) gesperrt, die Sperre kann später endgültig in einen Widerruf umgewandelt werden, oder wieder freigegeben werden. |
|
Remove from CRL: (8) Mit diesem Code wird innerhalb delta CRLs angezeigt, dass dieses widerrufene Zertifikat abgelaufen ist, und von der Liste zu streichen ist. Ansonsten wird dieser Code genutzt, um eine Sperre wieder aufzuheben. |
|
Privilege Withdrawn: (9) Ein im Zertifikat dokumentiertes Recht wurde zurückgezogen. |
|
AA Compromise: (10) Der private Schlüssel einer Attribute Authority ist oder könnte kompromittiert worden sein |
|
|
|
