Please note, that the Knowledge Base isn't translated to english completely at the moment. You will still find some german texts - we are translating permanently the outstanding parts! Thank you for understanding!
Publishing of revocation information
PRACTICE
Eine Grundfunktion einer PKI ist, die Widerrufsinformation gesammelt zu veröffentlichen, bzw. zu verteilen. Dieses kann in Form von Widerrufslisten geschehen oder aber auch als Online-Abfragemöglichkeit bestehen
Listen und Protokolle für den Widerrufsdienst
CRL - Certificate Revocation List: Die widerrufenen Zertifikate sind zumindest für die Zeit der jeweiligen Zertifikatsgültigkeit in einer signierten Liste veröffentlicht. Wenn die Liste widerrufene CA-Zertifikate enthält spricht man häufig von ARLs (Authority Revocation List) oder CARLs (Certificate Authority Revocation List). Wenn die Liste widerrufene Attributszertifikate enthält spricht man auch von ACRL (Attribute Certificate Revocation List) und AARL (Attribute Authority Revocation List)
Delta CRL: Diese Liste beinhaltet nur die Zertifikate, die sich im Widerrufsstatus seit der Veröffentlichung der letzten Base CRL verändert haben.
Indirect CRL: Diese Widerrufslisten enthalten auch Widerrufsinformationen über Zertifikate die von anderen CAs ausgestellt wurden, die Anderen werden zur Unterscheidung dann Simple CRLs genannt. Delta CRLs können ebenso indirekte CRLs sein (indirect delta Tree)
Redirect CRL: Bei Konfigurationsänderungen der PKI kann sich auch der Verteilungspunkt für CRLs ändern. Um eine reibungslose Validierung bestehender Zertifikate zu ermöglichen, kann mittels Redirect CRLs auf den neuen Verteilungspunkt verwiesen werden. Das lässt sich mit der X.509 CRL-Erweiterung Status Referral erreichen.
CRT - Certificate Revocation Tree: Die Widerrufsinformation kann auch als Merkle-Hash-Tree veröffentlicht werden, was den Aufwand reduziert.
Online-Verifikation: Bei PKIX sind OCSP und SVCP als Protokolle zur Online-Verifikation spezifiziert
Certificate verification
Legal notice
