Verwendung der Certificate Revocation List (CRL)

Was ist eine Certificate Revocation List (CRL)?

Die Certificate Revocation List ist eine Datei, die widerrufene Zertifikate, die von einem bestimmten Stamm- oder Zwischenzertifikat ausgegeben wurden, enthält. In einer CRL zum Stammzertifikat wird der Widerruf der darunter liegenden Zwischen- oder Ausstellerzertifikate bekannt gegeben. (sog. Certificate Authority Certificate Revocation List – CARL) in einer CRL zu einem Ausstellerzertifikat wird der Widerruf der Endbenutzerzertifikate dokumentiert.

Widerrufene Zertifikate, die bereits abgelaufen sind, können aus der CRL entfernt werden – standardkonforme Software lässt mit i ihnen ja keine gültige Signatur(Prüfung) mehr zu. Werden abgelaufenen trotzdem Zertifikate in der CRL behalten, wird dieser Umstand durch die CRL-Erweitung expiredCertsOnCrl (OID: 2.5.29.60) kenntlich gemacht.

Woher die CRL zu beziehen ist, ist in den einzelnen Zertifikaten eingetragen. Es handelt sich dabei um die X509v3-ErweiterungCRL Distribution Point, üblicherweise mit einer http-URI zu einer .crl-Datei.

Die CRL-Dateien werden von GLOBALTRUST immer dann neu veröffentlicht, wenn eine Änderung vorgenommen wurde (also ein weiteres Zertifikat widerrufen wurde) oder wenn der Gültigkeitszeitraum der CRL abgelaufen ist. Damit ist garantiert, dass die CRL immer auf dem aktuellen Stand ist.

Wie sind CRLs zu interpretieren?

Ein in der CRL eingetragenes Zertifikat verliert mit dem Eintragungszeitpunkt seine Gültigkeit. Der Signator darf das Zertifikat nicht mehr verwenden. Bis zu diesem Zeitpunkt unterfertigte Rechnungen oder Dokumente behalten jedoch ihre Gültigkeit. Einzelne Programme bringen hier fallweise irreführende Meldungen, indem Sie behaupten “Die Unterschrift ist ungültig, da das Zertifikat widerrufen wurde.” Diese Meldungen sind jedoch nicht RFC5280 konform. Für sensitive Anwendungen sollte daher auf korrekt arbeitende Produkte ausgewichen werden.

Welcher Zeitpunkt wird herangezogen?

Verbindlich ist die Uhrzeit der Zertifizierungsstelle. Zur Synchronisierung der Zeit bietet GLOBALTRUST auch den Zeitstempelservice GLOBALTRUST QUALIFIED TIMESTAMP an, welcher garantiert, dass eine elektronische Unterschrift zu einem bestimmten Zeitpunkt erfolgte.

Bestellen Sie jetzt Ihr Globaltrust Qualified Timestamp

CRL-Erweiterung für Widerrufsgründe

RFC5280 bietet die Möglichkeit, zu Informationszwecken den Grund für den Zertifikatswiderruf in die Erweiterung reasonCode einzutragen. Dies soll Softwareherstellern ermöglichen, je nach Schweregrad unterschiedlich auf widerrufene Zertifikate zu reagieren – zum Beispiel kann sich ein Endbenutzer beim Widerrufsgrund cessationOfOperation (Betriebseinstellung) über eine bloße Warnung hinwegsetzen; im Fall der keyCompromise (Schlüsselkompromittierung) folgt unweigerlich ein “hard fail”. Der Mechanismus wurde erst relativ spät aufgegriffen und ist etwa im Bereich der Webbrowserhersteller derzeit noch in Entwicklung.

Kann man einen Widerruf rückgängig machen?

Es besteht Möglichkeit, ein Zertifikat von vornherein mit dem reasonCode “certificateHold” in eine CRL einzutragen. Dies hat den Effekt, dass der Eintrag nachträglich wieder aus der CRL entfernt werden kann. Üblicherweise spricht man dann nicht von Widerruf (Revocation), sondern von Aussetzung (Suspension). Wird binnen 10 Tagen ab Eintrag der Aussetzung keine Entscheidung getroffen, geht die Aussetzung automatisch in einen endgültigen Widerruf über.

Geeignet ist die Aussetzung insbesondere als Vorsichtsmaßnahme, wenn etwa Schlüsselkompromittierung vermutet wird – eine verloren geglaubte Signaturerstellungseinheit könnte wieder gefunden werden etc.

Worauf muss der Benutzer der CRL achten?

Grundsätzlich wird die CRL durch die Zertifikatsspeicherverwaltung selbständig angefordert und beim Benutzer lokal verwaltet. Üblicherweise werden die aktualisierten CRL-Dateien erst nach Ablauf des in der CRL angegebenen Gültigkeitsdatums automatisch neu angefordert und aktualisiert. Dies kann bedeuten, dass ein Benutzer ein unterschriebenes Dokument irrtümlich als korrekt unterschrieben interpretiert, obwohl es mit einem abgelaufenen, aber noch nicht seiner lokalen CRL enthaltenen Zertifikat unterschrieben ist.

Um diese Situation zu verhindern, bieten manche Zertifikatsverwaltungen die CRL-Aktualisierung bei jeder Signaturprüfung an, bei anderen muss die CRL manuell aktualisiert werden. Andere Zertifikatsverwaltungen erwarten, dass man die lokal gespeicherte CRL löscht und diese Zertifikatsverwaltungen rufen dann automatisch die neue CRL ab. Welche Variante, die Zertifikatsverwaltung, ihre Applikation (ihr Programm) verwendet, müssen aus der Dokumentation entnommen werden und kann nicht von GLOBALTRUST supportet werden (im Zweifelsfall ist direkt mit dem Hersteller Kontakt aufzunehmen). In allen Fällen ist jedoch eine Verbindung zum Internet erforderlich.

Aufgrund der großen Verbreitung hat GLOBALTRUST für Microsoft Windows die CRL-Informationen des Microsoft-Supports zusammen gestellt (siehe unten). Für die Richtigkeit und Gültigkeit bei Ihrer Computer-Installation kann keine Gewähr geleistet werden.

Certificate Revocation List (CRL) unter Microsoft Windows

Grundsätzlich wird eine neue CRL von Microsoft Betriebssystemen nur dann neu heruntergeladen, wenn die in der vorhandenen CRL eingetragene Gültigkeitsdauer überschritten ist oder überhaupt keine CRL vorhanden ist.

Unter Microsoft werden CRLs in 3 verschiedenen Orten gespeichert:

• im Hauptspeicher des Computers,
• im Microsoft-Zertifikatsspeicher und
• in den “temporären Internetdateien”

Um CRLs aus den “temporären Internetdateien” zu entfernen, müssen diese mittels Microsoft Internet Explorer komplett gelöscht werden.

Um vorhandene CRLs zu entfernen und ein Update der CRL zu erzwingen, bietet Microsoft in einem Artikel umfangreiche Informationen zur CRL-Verwaltung an (http://www.microsoft.com/technet/prodtechnol/winxppro/support/tshtcrl.mspx#EDAA). Dieser Artikel enthält auch ein VisualBasic Script zum Entfernen veralteter CRL’s. Weiterführende Fragen zur Administration von CRLs sind direkt beim Support von Microsoft abzufragen.

Um CRLs aus dem Hauptspeicher zu entfernen, ist ein Neustart der Applikation, die die CRL verwendet, bzw. ein Neustart des Betriebssystems erforderlich.
Aus dem Microsoft-Zertifikatsspeicher können CRLs mit der Microsoft Management Console mmc.exe mittels des Zertifikate-Snap-Ins entfernt werden.
Start → Ausführen → mmc → Konsole → Snap-In hinzufügen/Entfernen → Hinzufügen → Zertifikate → Hinzufügen → Eigenes Benutzerkonto → Fertigstellen → Schließen → OK
CRLs, die in der Zertifikatsliste eingetragen sind, können dann gelöscht werden. Wir empfehlen, die Konsolen-Einstellungen abzuspeichern.