Certificate Revocation List

Certificate Revocation List

Certificate Revocation List

Para otros usos de este término, véase CRL (desambiguación).

CRL es la sigla de "Certificate Revocation List", que significa "lista de certificados revocados".

En la operación de algunos sistemas criptográficos, usualmente los de infraestructura de clave pública (PKI), una CRL es una lista de certificados (más concretamente sus números de serie) que han sido revocados, ya no son válidos y en los que no debe confiar ningún usuario del sistema.

Contenido

Para qué sirve

Cuando una autoridad de certificación emite un certificado digital, lo hace con un periodo máximo de validez que oscila entre dos y cuatro años máximo (Ley 59/2003 sobre la firma electrónica, Artículo 8). El objetivo de este periodo de caducidad es obligar a la renovación del certificado para adaptarlo a los cambios tecnológicos. Así se disminuye el riesgo de que el certificado quede comprometido por un avance tecnológico. La fecha de caducidad viene indicada en el propio certificado digital.

Sin embargo, existen otras situaciones que pueden invalidar el certificado digital aún cuando no ha caducado, de manera inesperada:

  • El usuario del certificado cree que su clave privada ha sido robada.
  • Desaparece la condición por la que el certificado fue expedido. Por ejemplo, el cambio de apoderado de una entidad jurídica.
  • El certificado contiene información errónea o información que ha cambiado. Por ejemplo, una errata en los apellidos.
  • Una orden judicial.
  • Etc.

Por tanto, debe existir algún mecanismo para comprobar la validez de un certificado antes de su caducidad. Las CRL son uno de estos mecanismos.

Cómo funciona

Una CRL es una lista de números de serie de certificados digitales revocados por una autoridad de certificación concreta. Dicha lista está firmada digitalmente por la propia autoridad de certificación.

Cuando un tercero desea comprobar la validez de un certificado debe descargar una CRL actualizada desde los servidores de la misma autoridad de certificación que emitió el certificado en cuestión. A continuación comprueba la autenticidad de la lista gracias a la firma digital de la autoridad de certificación. Después debe comprobar que el número de serie del certificado cuestionado está en la lista. En caso afirmativo, no se debe aceptar el certificado como válido.

Estrictamente hablando, no es necesario descargar una CRL cada vez que se verifica un certificado. Solamente es necesario cuando no se dispone de la CRL de una entidad de certificación concreta, y cuando dicha lista tiene una cierta antigüedad que aconseja su renovación.

Ventajas e inconvenientes

La única ventaja de las CRL es que se pueden consultar sin necesidad de una conexión de datos permanente con cada autoridad de certificación. Basta establecer dicha conexión con cierta periodicidad para descargar las CRL actualizadas.

Sin embargo, las desventajas de las CRL son varias:

  • Existe el peligro de que un certificado haya sido revocado, pero no aparezca en la CRL del tercero que comprueba su validez. Esto se debe a que la CRL utilizada podría no estar actualizada.
  • Si existe responsabilidad legal por el uso de un certificado revocado, no hay forma de demostrar quién es el culpable: el tercero por no comprobar la validez, o la autoridad de certificación por no incluirlo en la CRL a tiempo.
  • Las CRL solamente crecen en tamaño, resultando ineficientes para su tratamiento directo.

Alternativas

La única alternativa a las CRL es utilizar un protocolo de consulta en línea que aporte información al momento sobre cada certificado en concreto. Este protocolo se denomina OCSP.

Enlaces relacionados

  • Protocolo OCSP.
  • Infraestructura de clave pública.

Wikimedia foundation. 2010.

Игры ⚽ Нужно сделать НИР?

Mira otros diccionarios:

  • Certificate revocation list — In the operation of some cryptosystems, usually public key infrastructures (PKIs), a certificate revocation list (CRL) is a list of certificates (or more specifically, a list of serial numbers for certificates) that have been revoked or are no… …   Wikipedia

  • Certificate Revocation List — Eine Zertifikatsperrliste (engl. Certificate Revocation List – CRL) ist eine Liste, die die Ungültigkeit von Zertifikaten beschreibt. Sie ermöglicht es, festzustellen, ob ein Zertifikat gesperrt oder widerrufen wurde und warum. Zertifikate werden …   Deutsch Wikipedia

  • Certificate Revocation List — Liste de révocation de certificats La liste de révocation de certificats (CRL, certificate revocation list) est la liste des identifiants des certificats qui ont été révoqués ou ne sont plus valables et qui ne sont plus dignes de confiance. Un… …   Wikipédia en Français

  • Certificate revocation list — Liste de révocation de certificats La liste de révocation de certificats (CRL, certificate revocation list) est la liste des identifiants des certificats qui ont été révoqués ou ne sont plus valables et qui ne sont plus dignes de confiance. Un… …   Wikipédia en Français

  • certificate revocation list — atšauktų liudijimų sąrašas statusas T sritis informatika apibrėžtis Nebegaliojančių ↑liudijimų (liudijimų, kurių galiojimo laikas baigėsi arba kurie buvo panaikinti dėl įvairių priežasčių, turėtojo prašymu ir pan.) sąrašas, kurį sukuria ir… …   Enciklopedinis kompiuterijos žodynas

  • Revocation list — In the operation of some cryptosystems, usually public key infrastructures (PKIs), a certificate revocation list (CRL) is a list of certificates (or more specifically, a list of serial numbers for certificates) that have been revoked, and… …   Wikipedia

  • Revocation List — Eine Zertifikatsperrliste (engl. Certificate Revocation List – CRL) ist eine Liste, die die Ungültigkeit von Zertifikaten beschreibt. Sie ermöglicht es, festzustellen, ob ein Zertifikat gesperrt oder widerrufen wurde und warum. Zertifikate werden …   Deutsch Wikipedia

  • Authority revocation list — An Authority revocation list (ARL) is a form of certificate revocation list (CRL) but containing certificates issued to Certifying Authorities, contrary to CRL which contain revoked end entity certificates …   Wikipedia

  • Certificate server — Certificate servers validate, or certify, keys as part of a Public key infrastructure. Keys are strings of text generated from a series of encryption algorithms that allow you to secure communication for a group of users. Many Web servers, such… …   Wikipedia

  • Certificate authority — In cryptography, a certificate authority, or certification authority, (CA) is an entity that issues digital certificates. The digital certificate certifies the ownership of a public key by the named subject of the certificate. This allows others… …   Wikipedia

Compartir el artículo y extractos

Link directo
Do a right-click on the link above
and select “Copy Link”