CRL или CAC — списки SSL-сертификатов, отозванных центром выдачи (CA). На 2017 год происходит отказ от использования CRL (САС) в пользу OCSP (Онлайн Протокол Состояния Сертификата).

SSL обеспечивает защищённое HTTPS-соединение с сайтом, но существуют угрозы безопасности даже при действующем сертификате. Самая распространённая – секретный ключ скомпрометирован. Передача данных становится небезопасна. Чтобы номера кредитных карт и пароли пользователей не попали к мошенникам, сертификат нужно отозвать.

Основные причины аннулирования SSL:

  • ключ утерян/украден или скомпрометирован
  • неверно указано название компании или другие данные
  • сайт прекратил работу
  • сменился владелец ресурса
  • выдавший сертификат Certification Authority скомпрометирован

Как работают списки CRL?

Список аннулированных сертификатов публикует Certificate Authority (CA), выдавший сертификат:

1) Владелец домена или посетитель сайта, заметивший проблему, обращается в CA и просит аннулировать действующий SSL.

2) CA заносит уникальный серийный номер сертификата в список CAC, который:

  • защищён цифровой подписью центра — нельзя изменить
  • обновляется минимум раз в сутки — всегда актуален

3) Каждый раз при соединении с ресурсом браузер посетителя проверяет, аннулирован ли SSL-сертификат. Смотрит в загруженных списках CRL или по протоколу OCSP — через запрос к CA. Если находит сертификат в списке CRL или получает от CA ответ, что сертификат отозван — показывает предупреждение об ошибке.

Не все браузеры загружают списки CAC и пользуются OCSP

Firefox проверяет статус только для сертификатов с расширенной проверкой EV. Пользователи этого браузера не узнают об отзыве SSL DV и OV. Так же как и мобильные пользователи Safari в iOS. Chrome определяет статус сертификата для Windows, но не для Linux и Android.

Internet Explorer и Opera — самые безопасные в этом отношении браузеры. Они используют OCSP и CRL в зависимости от того, что предлагает CA.

Аннулированный сертификат нельзя восстановить, только купить новый. Берегите секретный ключ — его утеря или компрометация чаще всего приводит к отзыву SSL-сертификата.

 

Другие вопросы из категории

Что такое SSL-сертификат? Заказ и подтверждение SSL-сертификата Подписка на SSL-сертификат Как выбрать подходящий SSL-сертификат? Различия между бесплатными и платными SSL-сертификатами Можно ли перевыпустить имеющийся сертификат? Как SSL-сертификат влияет на конверсию? Как работает HTTPS простыми словами Как перевыпустить SSL-сертификат, купленный по подписке Как работает SSL-сертификат? Открытый и закрытый ключ шифрования Покупка SSL-сертификата у FirstSSL Кто выдает SSL-сертификаты? Что такое корневой сертификат? Что такое печать доверия? Какие бывают типы проверки SSL-сертификата и чем они отличаются Как работает сертификат с проверкой домена (DV) Как работает сертификат с проверкой организации (OV) Как работает сертификат с расширенной проверкой (EV) Как работает сертификат Multi Domain (MD) Как работает сертификат Wildcard (WC) Что представляют собой SSL-сертификаты с SGC? Как защитить сертификатом национальный домен Как продлить SSL-сертификат Что означает сумма гарантии SSL-сертификатов?