Certificate Revocation List là gì?

Certificate Revocation List hay viết tắt là CRL, là danh sách các chứng chỉ đã bị thu hồi trước ngày hết hạn bởi các cơ quan chứng nhận. Có thể có nhiều lý do khiến một chứng chỉ bị thu hồi (chúng tôi sẽ giải thích điều này hơn nữa tại đây). Tuy nhiên, ý tưởng chính ở đây là cung cấp một vị trí trung tâm cho các máy khách web như trình duyệt để kiểm tra xem chứng chỉ SSL / TLS của trang web có đáng tin hay không.

Bài đăng này sẽ đề cập đến những gì có thể khiến chứng chỉ bị thu hồi, cách thức hoạt động của CRL và một vài công cụ CRL bạn có thể sử dụng để kiểm tra xem chứng chỉ có bị thu hồi hay không.

Tại sao chứng chỉ SSL bị thu hồi?

Có nhiều lý do tại sao một chứng chỉ có thể bị thu hồi. Trước khi đi vào chi tiết cụ thể, cần lưu ý rằng một chứng chỉ bị thu hồi không có nghĩa là một chứng chỉ đã hết hạn mà là một chứng chỉ đang hoạt động đã được nghỉ hưu. Theo RFC 5280 , những lý do khiến chứng chỉ có thể bị thu hồi bao gồm:

  • Không xác định
  • keyCompromise
  • cACompromise
  • affiliationChanged
  • Bị ngừng hoạt động
  • cessationOfOperation
  • Chứng chỉ bị tạm giữ
  • Bị xóa khỏi CRL
  • privilegeWithdrawn
  • aACompromise

Những lý do được xác định ở trên, tuy nhiên, có thể không hoàn toàn rõ ràng. Do đó, đây là ba ví dụ phổ biến trong thế giới thực về lý do tại sao chứng chỉ có thể được thêm vào danh sách hủy bỏ.

  1. Khóa riêng đã bị mất hoặc bị xâm phạm, do đó nó không còn được tin cậy
  2. Chủ sở hữu trước đó của tên miền không còn sở hữu tên miền đó hoặc ngừng hoạt động hoàn toàn
  3. Giấy chứng nhận được phát hiện là giả mạo

Danh sách thu hồi chứng chỉ (CRL) hoạt động như thế nào?

Danh sách thu hồi chứng chỉ về cơ bản là một danh sách lớn các chứng chỉ trong danh sách đen được duy trì bởi các cơ quan chứng nhận nhất định. Khi một trình duyệt đưa ra yêu cầu đến một trang có chứng chỉ SSL / TLS, nó sẽ tuân theo quy trình dưới đây.

  1. Yêu cầu GET được gửi đến trang hỗ trợ HTTPS.
  2. Cơ quan chứng nhận nhận được yêu cầu đó và trả về một danh sách tất cả các chứng chỉ bị thu hồi.
  3. Trình duyệt sau đó phân tích cú pháp CRL để đảm bảo rằng chứng chỉ của trang được yêu cầu không có trong đó.

Duy trì một danh sách thu hồi chứng chỉ có thể khó khăn. Nó đòi hỏi cập nhật và thay đổi liên tục và do đó dễ bị lỗi. Hơn nữa, tùy thuộc vào thời điểm CRL được cập nhật lần cuối, có thể yêu cầu trình duyệt đến một trang web có chứng chỉ bị thu hồi sẽ bật đèn xanh vì danh sách không được cập nhật kịp thời.

Công cụ danh sách thu hồi chứng chỉ

Có một số cách bạn có thể kiểm tra CRL của cơ quan cấp chứng chỉ. Một trong số đó là thông qua việc sử dụng Google Chrome và kiểm tra chi tiết chứng chỉ. Để thực hiện việc này, hãy mở DevTools của Chrome, điều hướng đến tab bảo mật và nhấp vào Xem chứng chỉ .

Từ đây, nhấp vào Chi tiết và cuộn xuống nơi bạn sẽ thấy Điểm phân phối CRL của CRL.

Liên kết được liên kết với Tiện ích mở rộng này sẽ cung cấp cho bạn danh sách các số sê-ri cho các chứng chỉ của cơ quan đó đã bị thu hồi.

bình luận

Leave a Comment