Azərbaycanca AzərbaycancaБеларускі БеларускіDansk DanskDeutsch DeutschEspañola EspañolaFrançais FrançaisIndonesia IndonesiaItaliana Italiana日本語 日本語Қазақ ҚазақLietuvos LietuvosNederlands NederlandsPortuguês PortuguêsРусский Русскийසිංහල සිංහලแบบไทย แบบไทยTürkçe TürkçeУкраїнська Українська中國人 中國人United State United StateAfrikaans Afrikaans
Підтримка
www.wikidata.uk-ua.nina.az

Список відкликаних сертифікатів або СВС це список цифрових сертифікатів які були відкликані центром сертифікації ЦСК до

Список відкликаних сертифікатів

Список відкликаних сертифікатів

Список відкликаних сертифікатів (або СВС) — це «список цифрових сертифікатів, які були відкликані центром сертифікації (ЦСК) до запланованої дати закінчення терміну дії та яким більше не можна довіряти». СВС більше не потрібуються [en], оскільки замість них дедалі частіше використовуються альтернативні технології відкликання сертифікатів (такі як OCSP). Тим не менш, СВС все ще широко використовуються центрами сертифікації.

Стани відкликання

У RFC 5280 визначено два різні стани відкликання:

Відкликано
Сертифікат безповоротно відкликається, якщо, наприклад, виявлено, що центр сертифікації (ЦСК) неправильно видав сертифікат, або якщо вважається, що особистий ключ було скомпрометовано. Сертифікати також можуть бути відкликані через недотримання визначеною організацією вимог політики, як-от публікація фальшивих документів, спотворення поведінки програмного забезпечення або порушення будь-якої іншої політики, визначеної оператором ЦСК або його клієнтом. Найпоширенішою причиною відкликання є те, що користувач більше не володіє особистим ключем (наприклад, токен, що містить закритий ключ, було втрачено або вкрадено).
Блоковано
Цей оборотний статус можна використовувати для позначення тимчасової недійсності сертифіката (наприклад, якщо користувач не впевнений, що особистий ключ було втрачено). Якщо в цьому випадку особистий ключ було знайдено, і ніхто не мав до нього доступу, статус можна було відновити, і сертифікат знову стане дійсним, таким чином сертифікат буде видалено із майбутніх СВС.

Підстави для відкликання

Підставами для відкликання сертифіката згідно з RFC 5280 є:

  • unspecified (0)
  • keyCompromise (1)
  • CACompromise (2)
  • affiliationChanged (3)
  • superseded (4)
  • cessationOfOperation (5)
  • certificateHold (6)
  • removeFromCBC (8)
  • privilegeWithdrawn (9)
  • aACompromise (10)

Зверніть увагу, що значення 7 не використовується.

Публікація списків відкликаних сертифікатів

СВС створюється та публікується періодично, часто через певний інтервал. СВС також можна опублікувати одразу після відкликання сертифіката. СВС видається емітентом СВС, яким зазвичай є центр сертифікації, що також видав відповідні сертифікати, але як альтернатива це може бути інший довірений орган. Усі СВС мають термін дії, протягом якого вони дійсні; цей часовий проміжок часто становить 24 години або менше. Протягом терміну дії СВС програма з підтримкою ІВК може перевіряти сертифікат перед використанням.

Щоб запобігти спуфінгу або атакам на відмову в обслуговуванні, СВС зазвичай мають цифровий підпис, пов'язаний із ЦСК, яким вони опубліковані. Щоб перевірити певний СВС, перш ніж покладатися на нього, потрібен сертифікат відповідного ЦСК.

Сертифікати, для яких слід підтримувати СВС, часто є сертифікатами відкритого ключа X.509, оскільки цей формат зазвичай використовується в схемах ІВК.

Відкликання vs. закінчення терміну дії

Терміни дії не замінюють СВС. Хоча всі прострочені сертифікати вважаються недійсними, не всі непрострочені сертифікати повинні бути дійсними. СВС або інші методи перевірки сертифікатів є необхідною частиною будь-якої належної роботи ІВК, оскільки очікується, що помилки під час перевірки сертифікатів і керування ключами траплятимуться при реальних операціях.

Вартий уваги приклад: сертифікат для Microsoft був помилково виданий невідомій особі, яка успішно видала себе за Microsoft перед центром сертифікації, уклавши контракт на обслуговування системи «сертифікатів видавця» ActiveX (VeriSign). Корпорація Майкрософт побачила необхідність виправити свою підсистему криптографії, щоб вона перевіряла статус сертифікатів, перш ніж довіряти їм. Як короткотермінове виправлення було випущено патч для відповідного програмного забезпечення Microsoft (в основному Windows), у якому два сертифікати, про які йде мова, перераховані як «відкликані».

Проблеми зі списками відкликаних сертифікатів

Найкращі практики вимагають, щоб незалежно від того, де і як підтримується статус сертифіката, його потрібно перевіряти щоразу, коли хтось хоче покладатися на сертифікат. Якщо цього не зробити, відкликаний сертифікат може бути помилково прийнятий як дійсний. Це означає, що для ефективного використання ІВК потрібно мати доступ до поточних СВС. Ця вимога перевірки в режимі онлайн зводить нанівець одну з головних переваг ІВК над протоколами симетричної криптографії, а саме те, що сертифікат є «самоавтентифікованим». Симетричні системи, такі як Kerberos, також залежать від існування он-лайнових служб (у випадку Kerberos це [en]).

Існування СВС передбачає потребу в тому, щоб хтось (або якась організація) забезпечував дотримання політики та відкликав сертифікати, які вважаються такими, що суперечать політиці сертифікації. Якщо сертифікат помилково відкликано, можуть виникнути значні проблеми. Оскільки на центр сертифікації покладено завдання забезпечити дотримання політики сертифікації для видачі сертифікатів, вони зазвичай відповідають за визначення того, чи є доречним відкликання, інтерпретуючи політику сертифікації.

Необхідність звернення до СВС (або іншої служби статусу сертифіката) перед прийняттям сертифіката створює потенційну атаку типу «відмова в обслуговуванні» проти ІВК. Якщо прийняти сертифікат не вдається через відсутність доступного дійсного СВС, тоді не можуть виконуватися жодні операції, залежні від прийняття сертифіката. Ця проблема також існує для систем Kerberos, де неможливість отримати поточний маркер автентифікації завадить доступу до системи.

Альтернативою використанню СВС є протокол перевірки сертифіката, відомий як протокол онлайнового статусу сертифіката (OCSP). Основною перевагою OCSP є потреба в меншій пропускній здатності мережі, що дозволяє перевіряти статус у режимі реального часу або майже в режимі реального часу для великих обсягів або великих операцій.

Починаючи з Firefox 28, Mozilla оголосила про припинення використання СВС на користь OCSP.

З часом файли СВС можуть збільшуватися, наприклад, в уряді США, для певних установ у до кількох мегабайтів. Тому були розроблені інкрементальні СВС, які іноді називають «дельта-СВС». Однак лише деякі клієнти їх впроваджують.

Списки відкликання уповноважених

Список відкликаних уповноважених (ARL) — це форма СВС, що містить відкликані сертифікати, видані центрам сертифікації, на відміну від СВС, які містять відкликані сертифікати кінцевих об'єктів.

Див. також

Примітки

  1. What is Certificate Revocation List (CRL)? - Definition from WhatIs.com. TechTarget. Процитовано 26 жовтня 2017.
  2. . CAB Forum. Архів оригіналу за 7 січня 2014. Процитовано 1 листопада 2021.
  3. As of Firefox 28, Firefox will not fetch CRLs during EV certificate validation. groups.google.com.
  4. . Internet Engineering Task Force (IETF). June 2013. Архів оригіналу за 15 грудня 2018. Процитовано 24 листопада 2021. In lieu of, or as a supplement to, checking against a periodic CRL, it may be necessary to obtain timely information regarding the revocation status of certificates. ... OCSP may be used to satisfy some of the operational requirements of providing more timely revocation information than is possible with CRLs and may also be used to obtain additional status information.
  5. Korzhitskii, Nikita; Carlsson, Niklas. Revocation Statuses on the Internet.
  6. RFC 5280. tools.ietf.org. IETF. с. 69. section 5.3.1, Reason Code. Процитовано 9 травня 2019.
  7. Robert Lemos. Microsoft warns of hijacked certificates - CNET News. News.cnet.com. Процитовано 9 травня 2019.
  8. Microsoft Security Bulletin MS01-017 : Erroneous VeriSign-Issued Digital Certificates Pose Spoofing Hazard. Technet.microsoft.com. 20 липня 2018. Процитовано 9 травня 2019.
  9. RFC 5280 - Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile. Tools.ietf.org. Процитовано 9 травня 2019.
  10. Archiveddocs (20 березня 2018). Configure CRL and Delta CRL Overlap Periods. Microsoft Docs. Процитовано 25 червня 2020.
  11. IBM (4 лютого 2021). Setting up LDAP servers. IBM Knowledge Center. Процитовано 18 лютого 2021.
  12. IBM. Creating a distribution point ARL. IBM Knowledge Center. Процитовано 18 лютого 2021.

Вікіпедія, Українська, Україна, книга, книги, бібліотека, стаття, читати, завантажити, безкоштовно, безкоштовно завантажити, mp3, відео, mp4, 3gp, jpg, jpeg, gif, png, малюнок, музика, пісня, фільм, книга, гра, ігри, мобільний, телефон, android, ios, apple, мобільний телефон, samsung, iphone, xiomi, xiaomi, redmi, honor, oppo, nokia, sonya, mi, ПК, web, Інтернет

Spisok vidklikanih sertifikativ abo SVS ce spisok cifrovih sertifikativ yaki buli vidklikani centrom sertifikaciyi CSK do zaplanovanoyi dati zakinchennya terminu diyi ta yakim bilshe ne mozhna doviryati SVS bilshe ne potribuyutsya en oskilki zamist nih dedali chastishe vikoristovuyutsya alternativni tehnologiyi vidklikannya sertifikativ taki yak OCSP Tim ne mensh SVS vse she shiroko vikoristovuyutsya centrami sertifikaciyi Stani vidklikannyaU RFC 5280 viznacheno dva rizni stani vidklikannya Vidklikano Sertifikat bezpovorotno vidklikayetsya yaksho napriklad viyavleno sho centr sertifikaciyi CSK nepravilno vidav sertifikat abo yaksho vvazhayetsya sho osobistij klyuch bulo skomprometovano Sertifikati takozh mozhut buti vidklikani cherez nedotrimannya viznachenoyu organizaciyeyu vimog politiki yak ot publikaciya falshivih dokumentiv spotvorennya povedinki programnogo zabezpechennya abo porushennya bud yakoyi inshoyi politiki viznachenoyi operatorom CSK abo jogo kliyentom Najposhirenishoyu prichinoyu vidklikannya ye te sho koristuvach bilshe ne volodiye osobistim klyuchem napriklad token sho mistit zakritij klyuch bulo vtracheno abo vkradeno Blokovano Cej oborotnij status mozhna vikoristovuvati dlya poznachennya timchasovoyi nedijsnosti sertifikata napriklad yaksho koristuvach ne vpevnenij sho osobistij klyuch bulo vtracheno Yaksho v comu vipadku osobistij klyuch bulo znajdeno i nihto ne mav do nogo dostupu status mozhna bulo vidnoviti i sertifikat znovu stane dijsnim takim chinom sertifikat bude vidaleno iz majbutnih SVS Pidstavi dlya vidklikannyaPidstavami dlya vidklikannya sertifikata zgidno z RFC 5280 ye unspecified 0 keyCompromise 1 CACompromise 2 affiliationChanged 3 superseded 4 cessationOfOperation 5 certificateHold 6 removeFromCBC 8 privilegeWithdrawn 9 aACompromise 10 Zvernit uvagu sho znachennya 7 ne vikoristovuyetsya Publikaciya spiskiv vidklikanih sertifikativSVS stvoryuyetsya ta publikuyetsya periodichno chasto cherez pevnij interval SVS takozh mozhna opublikuvati odrazu pislya vidklikannya sertifikata SVS vidayetsya emitentom SVS yakim zazvichaj ye centr sertifikaciyi sho takozh vidav vidpovidni sertifikati ale yak alternativa ce mozhe buti inshij dovirenij organ Usi SVS mayut termin diyi protyagom yakogo voni dijsni cej chasovij promizhok chasto stanovit 24 godini abo menshe Protyagom terminu diyi SVS programa z pidtrimkoyu IVK mozhe pereviryati sertifikat pered vikoristannyam Shob zapobigti spufingu abo atakam na vidmovu v obslugovuvanni SVS zazvichaj mayut cifrovij pidpis pov yazanij iz CSK yakim voni opublikovani Shob pereviriti pevnij SVS persh nizh pokladatisya na nogo potriben sertifikat vidpovidnogo CSK Sertifikati dlya yakih slid pidtrimuvati SVS chasto ye sertifikatami vidkritogo klyucha X 509 oskilki cej format zazvichaj vikoristovuyetsya v shemah IVK Vidklikannya vs zakinchennya terminu diyiTermini diyi ne zaminyuyut SVS Hocha vsi prostrocheni sertifikati vvazhayutsya nedijsnimi ne vsi neprostrocheni sertifikati povinni buti dijsnimi SVS abo inshi metodi perevirki sertifikativ ye neobhidnoyu chastinoyu bud yakoyi nalezhnoyi roboti IVK oskilki ochikuyetsya sho pomilki pid chas perevirki sertifikativ i keruvannya klyuchami traplyatimutsya pri realnih operaciyah Vartij uvagi priklad sertifikat dlya Microsoft buv pomilkovo vidanij nevidomij osobi yaka uspishno vidala sebe za Microsoft pered centrom sertifikaciyi uklavshi kontrakt na obslugovuvannya sistemi sertifikativ vidavcya ActiveX VeriSign Korporaciya Majkrosoft pobachila neobhidnist vipraviti svoyu pidsistemu kriptografiyi shob vona pereviryala status sertifikativ persh nizh doviryati yim Yak korotkoterminove vipravlennya bulo vipusheno patch dlya vidpovidnogo programnogo zabezpechennya Microsoft v osnovnomu Windows u yakomu dva sertifikati pro yaki jde mova pererahovani yak vidklikani Problemi zi spiskami vidklikanih sertifikativNajkrashi praktiki vimagayut shob nezalezhno vid togo de i yak pidtrimuyetsya status sertifikata jogo potribno pereviryati shorazu koli htos hoche pokladatisya na sertifikat Yaksho cogo ne zrobiti vidklikanij sertifikat mozhe buti pomilkovo prijnyatij yak dijsnij Ce oznachaye sho dlya efektivnogo vikoristannya IVK potribno mati dostup do potochnih SVS Cya vimoga perevirki v rezhimi onlajn zvodit nanivec odnu z golovnih perevag IVK nad protokolami simetrichnoyi kriptografiyi a same te sho sertifikat ye samoavtentifikovanim Simetrichni sistemi taki yak Kerberos takozh zalezhat vid isnuvannya on lajnovih sluzhb u vipadku Kerberos ce en Isnuvannya SVS peredbachaye potrebu v tomu shob htos abo yakas organizaciya zabezpechuvav dotrimannya politiki ta vidklikav sertifikati yaki vvazhayutsya takimi sho superechat politici sertifikaciyi Yaksho sertifikat pomilkovo vidklikano mozhut viniknuti znachni problemi Oskilki na centr sertifikaciyi pokladeno zavdannya zabezpechiti dotrimannya politiki sertifikaciyi dlya vidachi sertifikativ voni zazvichaj vidpovidayut za viznachennya togo chi ye dorechnim vidklikannya interpretuyuchi politiku sertifikaciyi Neobhidnist zvernennya do SVS abo inshoyi sluzhbi statusu sertifikata pered prijnyattyam sertifikata stvoryuye potencijnu ataku tipu vidmova v obslugovuvanni proti IVK Yaksho prijnyati sertifikat ne vdayetsya cherez vidsutnist dostupnogo dijsnogo SVS todi ne mozhut vikonuvatisya zhodni operaciyi zalezhni vid prijnyattya sertifikata Cya problema takozh isnuye dlya sistem Kerberos de nemozhlivist otrimati potochnij marker avtentifikaciyi zavadit dostupu do sistemi Alternativoyu vikoristannyu SVS ye protokol perevirki sertifikata vidomij yak protokol onlajnovogo statusu sertifikata OCSP Osnovnoyu perevagoyu OCSP ye potreba v menshij propusknij zdatnosti merezhi sho dozvolyaye pereviryati status u rezhimi realnogo chasu abo majzhe v rezhimi realnogo chasu dlya velikih obsyagiv abo velikih operacij Pochinayuchi z Firefox 28 Mozilla ogolosila pro pripinennya vikoristannya SVS na korist OCSP Z chasom fajli SVS mozhut zbilshuvatisya napriklad v uryadi SShA dlya pevnih ustanov u do kilkoh megabajtiv Tomu buli rozrobleni inkrementalni SVS yaki inodi nazivayut delta SVS Odnak lishe deyaki kliyenti yih vprovadzhuyut Spiski vidklikannya upovnovazhenihSpisok vidklikanih upovnovazhenih ARL ce forma SVS sho mistit vidklikani sertifikati vidani centram sertifikaciyi na vidminu vid SVS yaki mistyat vidklikani sertifikati kincevih ob yektiv Div takozh en en Server sertifikativ OCSPPrimitkiWhat is Certificate Revocation List CRL Definition from WhatIs com TechTarget Procitovano 26 zhovtnya 2017 CAB Forum Arhiv originalu za 7 sichnya 2014 Procitovano 1 listopada 2021 As of Firefox 28 Firefox will not fetch CRLs during EV certificate validation groups google com Internet Engineering Task Force IETF June 2013 Arhiv originalu za 15 grudnya 2018 Procitovano 24 listopada 2021 In lieu of or as a supplement to checking against a periodic CRL it may be necessary to obtain timely information regarding the revocation status of certificates OCSP may be used to satisfy some of the operational requirements of providing more timely revocation information than is possible with CRLs and may also be used to obtain additional status information Korzhitskii Nikita Carlsson Niklas Revocation Statuses on the Internet RFC 5280 tools ietf org IETF s 69 section 5 3 1 Reason Code Procitovano 9 travnya 2019 Robert Lemos Microsoft warns of hijacked certificates CNET News News cnet com Procitovano 9 travnya 2019 Microsoft Security Bulletin MS01 017 Erroneous VeriSign Issued Digital Certificates Pose Spoofing Hazard Technet microsoft com 20 lipnya 2018 Procitovano 9 travnya 2019 RFC 5280 Internet X 509 Public Key Infrastructure Certificate and Certificate Revocation List CRL Profile Tools ietf org Procitovano 9 travnya 2019 Archiveddocs 20 bereznya 2018 Configure CRL and Delta CRL Overlap Periods Microsoft Docs Procitovano 25 chervnya 2020 IBM 4 lyutogo 2021 Setting up LDAP servers IBM Knowledge Center Procitovano 18 lyutogo 2021 IBM Creating a distribution point ARL IBM Knowledge Center Procitovano 18 lyutogo 2021

Дата публікації:
Топ