Открыть сервис

Список отзыва сертификатов

Список отзыва сертификатов (англ. Certificate Revocation List, CRL) — это структурированный перечень цифровых сертификатов, которые были отозваны удостоверяющим центром до истечения срока их действия. CRL является ключевым элементом инфраструктуры открытых ключей (PKI), обеспечивающим проверку актуальности и доверия к сертификатам в криптографических системах.

Назначение и принцип работы

Основная функция списка отзыва — информировать участников PKI о том, что определённые сертификаты больше не могут считаться действительными. Отзыв сертификата может потребоваться в нескольких случаях: компрометация закрытого ключа владельца (например, кража или утечка), изменение данных в сертификате (смена должности, названия организации), прекращение деятельности владельца сертификата, либо обнаружение ошибки при выпуске сертификата.

Когда удостоверяющий центр (УЦ) принимает решение об отзыве, он вносит серийный номер сертификата в CRL, подписывает список своей электронной подписью и публикует его в открытом доступе. Любое программное обеспечение, проверяющее сертификат (браузер, почтовый клиент, операционная система), должно периодически загружать актуальные CRL и сверять с ними серийные номера проверяемых сертификатов. Если номер найден в списке, сертификат считается недействительным, и соединение или подпись отклоняются.

Структура списка отзыва

Согласно стандарту X.509, CRL имеет строгую структуру, определённую в рекомендациях Международного союза электросвязи (ITU-T). Основные поля списка включают:

CRL может быть полным (содержать все отозванные сертификаты за всю историю УЦ) или дельта-списком (содержать только изменения с момента выхода предыдущего полного списка). Дельта-списки уменьшают объём передаваемых данных, но требуют наличия базового полного списка.

Типы и форматы

Списки отзыва сертификатов классифицируются по нескольким признакам:

По объёму данных:

По способу распространения:

По иерархии:

Процедура отзыва сертификата

Процесс отзыва инициируется владельцем сертификата, администратором PKI или автоматически при наступлении определённых событий. Стандартная процедура включает следующие этапы:

  1. Подача запроса — владелец или уполномоченное лицо обращается в УЦ с заявлением об отзыве, указав причину (компрометация ключа, смена данных, прекращение деятельности).
  2. Верификация — УЦ проверяет полномочия заявителя и обоснованность запроса.
  3. Внесение в CRL — серийный номер сертификата добавляется в список с указанием даты и кода причины.
  4. Публикация — обновлённый CRL подписывается и размещается в точках распространения.
  5. Распространение — клиенты PKI загружают новый список при следующей проверке.

Время между отзывом и публикацией CRL может составлять от нескольких минут до нескольких часов в зависимости от политики УЦ. Для критически важных систем используется протокол OCSP (Online Certificate Status Protocol), позволяющий проверять статус сертификата в реальном времени без загрузки всего списка.

Применение

Списки отзыва сертификатов используются в широком спектре криптографических систем:

Критика и ограничения

Модель списков отзыва имеет ряд недостатков, которые привели к развитию альтернативных методов:

Для преодоления этих ограничений был разработан протокол OCSP, который позволяет проверять статус отдельного сертификата через запрос к серверу УЦ. Однако OCSP также имеет недостатки: он создаёт дополнительный сетевой трафик и может быть подвержен атакам типа «человек посередине», если не используется подписанный ответ.

Альтернативы

Помимо классических CRL и OCSP, в современных системах применяются:

Правовое регулирование в России

В Российской Федерации порядок отзыва сертификатов электронной подписи регулируется Федеральным законом от 6 апреля 2011 года № 63-ФЗ «Об электронной подписи». Удостоверяющие центры обязаны вести реестр отозванных сертификатов и обеспечивать доступ к нему в порядке, установленном Министерством цифрового развития, связи и массовых коммуникаций. Список отзыва сертификатов является частью реестра и публикуется в открытом доступе. Для государственных информационных систем (например, портал «Госуслуги», Единая система идентификации и аутентификации) используются собственные CRL, поддерживаемые аккредитованными УЦ.

Источники

  1. Рекомендация ITU-T X.509 (2019) — «Information technology — Open Systems Interconnection — The Directory: Public-key and attribute certificate frameworks».
  2. Федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи» (ред. от 04.08.2023).
  3. RFC 5280 — «Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile» (IETF, 2008).
  4. Приказ Минцифры России от 18.01.2022 № 27 «Об утверждении Порядка ведения реестра отозванных сертификатов ключей проверки электронных подписей».
  5. Стандарт ГОСТ Р 34.10-2012 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи».

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →