Verwendung der Certificate Revocation List (CRL)
Was ist eine Certificate Revocation List (CRL)? - Wie sind CRL's zu interpretieren? - Worauf muss der Benutzer der CRL achten? - Welche Besonderheiten ergeben sich bei der CRL-Verwaltung unter Microsoft Windows?
Was ist eine Certificate Revocation List (CRL)?
Die Certificate Revocation List ist eine Datei die die widerrufenen Zertifikate, die zu einem bestimmten Rootzertifikat ausgegeben wurden, enthält. Je Rootzertifikat gibt es daher eine eigene CRL. Die CRL enthält keine abgelaufenen Zertifikate.
Woher die CRL zu beziehen ist, ist in den einzelnen Zertifikaten eingetragen.
Es handelt sich dabei um eine X509v3-Erweiterung.
Die CRL-Dateien werden von GLOBALTRUST immer dann neu veröffentlicht, wenn eine Änderung vorgenommen wurde (also ein weiteres Zertifikat widerrufen wurde) oder wenn der Gültigkeitszeitraum der CRL abgelaufen ist. Damit ist garantiert, dass die CRL immer auf dem aktuellen Stand ist.
Wie sind CRL's zu interpretieren?
Ein in der CRL eingetragenes Zertifikat verliert mit dem Eintragungszeitpunkt seine Gültigkeit. Der Signator darf das Zertifikat nicht mehr verwenden. Bis zu diesem Zeitpunkt unterfertigte Rechnungen oder Dokumente behalten jedoch ihre Gültigkeit. Einzelne Programme bringen hier fallweise irreführende Meldungen, indem Sie behaupten "Die Unterschrift ist ungültig, da das Zertifikat widerrufen wurde." Diese Meldungen sind jedoch nicht RFC3280 konform. Für sensitive Anwendungen sollte daher auf korrekt arbeitende Produkte ausgewichen werden.
Welcher Zeitpunkt wird herangezogen?
Verbindlich ist die Uhrzeit der Zertifizierungsstelle. Zur Synchronisierung der Zeit bietet GLOBALTRUST auch den Zeitstempelservice GLOBALTRUST QUALIFIED TIMESTAMP an, welcher garantiert das eine elektronische Unterschrift zu einem bestimmten Zeitpunkt erfolgte.
Worauf muss der Benutzer der CRL achten?
Grundsätzlich wird die CRL durch die Zertifikatsspeicherverwaltung selbständig angefordert und beim Benutzer lokal verwaltet. Üblicherweise werden die aktualisierten CRL-Dateien erst nach Ablauf des in der CRL angegebenen Gültigkeitsdatums automatisch neu angefordert und aktualisiert. Dies kann bedeuten, dass ein Benutzer ein unterschriebenes Dokument irrtümlich als korrekt unterschrieben interpretiert, obwohl es mit einem abgelaufenen, aber noch nicht seiner lokalen CRL enthaltenen Zertifikat unterschrieben ist.
Um diese Situation zu verhindern bieten manche Zertifikatsverwaltungen die CRL-Aktualisierung bei jeder Signaturprüfung an, bei anderen muss die CRL manuell aktualisiert werden. Andere Zertifikatsverwaltungen erwarten, dass man die lokal gespeicherte CRL löscht und diese Zertifikatverwaltungen rufen dann automatisch die neue CRL ab. Welche Variante die Zertifikatsverwaltung ihre Applikation (ihr Programm) verwendet, müssen aus der Dokumentation entnommen werden und kann nicht von GLOBALTRUST supportet werden (im Zweifelsfall ist direkt mit dem Hersteller Kontakt aufzunehmen). In allen Fällen ist jedoch eine Verbindung zum Internet erforderlich.
Auf Grund der großen Verbreitung hat GLOBALTRUST für Microsoft Windows die CRL-Informationen des Microsoft-Supports zusammen gestellt (siehe unten). Für die Richtigkeit und Gültigkeit bei Ihrer Computer-Installation kann keine Gewähr geleistet werden.
Certificate Revocation List (CRL) unter Microsoft Windows
Grundsätzlich wird eine neue CRL von Microsoft Betriebssystemen nur dann neu heruntergeladen, wenn die in der vorhandenen CRL eingetragene Gültigkeitsdauer überschritten ist oder überhaupt keine CRL vorhanden ist.
Unter Microsoft Betriebssystemen werden CRLs in 3 verschiedenen Orten gespeichert:
- im Hauptspeicher des Computers,
- im Microsoft-Zertifikatsspeicher und
- in den "temporären Internet Dateien"
Um CRLs aus den "temporären Internet Dateien" zu entfernen, müssen diese mittels Microsoft Internet Explorer komplett gelöscht werden.
Um vorhandene CRLs zu entfernen und ein Update der CRL zu erzwingen, bietet Microsoft in einem Artikel umfangreiche Informationen zur CRL-Verwaltung an (http://www.microsoft.com/technet/prodtechnol/winxppro/support...). Dieser Artikel enthält auch ein VisualBasic Script zum Entfernen veralteter CRL's. Weiterführende Fragen zur Administration von CRLs sind direkt beim Support von Microsoft abzufragen.
Um CRLs aus dem Hauptspeicher zu entfernen, ist ein Neustart der Applikation, die die CRL verwendet, bzw. ein Neustart des Betriebssystems erforderlich.
Aus dem Microsoft-Zertifikatsspeicher können CRLs mit der Microsoft Management Console mmc.exe mittels des Zertifikate-Snap-Ins entfernt werden.
Start -> Ausführen -> mmc -> Konsole -> Snap-In hinzufügen/Entfernen -> Hinzufügen -> Zertifikate -> Hinzufügen -> Eigenes Benutzerkonto -> Fertigstellen -> Schließen -> OK
CRL's die in der Zertifikatsliste eingetragen sind, können dann gelöscht werden. Wir empfehlen die Konsolen-Einstellungen abzuspeichern.
mehr --> Widerrufs- und Sperrdienst (Revocation & Suspend Service)
mehr --> RFC3280: Internet X.509 Public Key Infrastructure Certificate and Certificate Re
Archiv --> Weitere Informationen zu den aktuellen A-CERT und GLOBALTRUST Root Zertifikaten
Archiv --> Abgelaufene oder nicht mehr verwendete Root- und Zwischen-Zert...
mehr --> Welche Schritte sind notwendig um ein Zertifikat zu validieren...
andere --> Microsoft Troubleshooting Certificate Status and Revocation (Originallink)
|
