ARL (Authority Revocation List)

ARL (Authority Revocation List — список отзыва сертификатов) — это перечень сертификатов, отозванных центром сертификации, который их выдал. В список блокировки попадают сертификаты, которые больше не внушают доверия. Он применяется различными сервисами, в том числе в интернет-браузерах, чтобы проверить, действителен ли сертификат и можно ли ему доверять. Документ ARL подписывают в центре сертификации, чтобы исключить неправомерный доступ.

Что называют цифровым сертификатом

Цифровые сертификаты необходимы при шифровании, чтобы защищать коммуникации и создать уровень доверия. Это становится возможным благодаря протоколу безопасности транспортного уровня. Сертификат, который подписан центром сертификации, выдавшим его, также удостоверяет личность владельца.

Когда браузер подключается к сайту с помощью протокола TLS, его цифровой сертификат проходит проверку на наличие аномалий или проблем. Часть этого процесса включает проверку того, что сертификат не указан в ARL.

Эти процедуры особенно важны для транзакций, поскольку они позволяют пользователю проверить личность владельца сайта и определить, может ли цифровой сертификат считаться надежным.

Национальный институт технологий и стандартов США утвердил, что ARL — это последовательность, которую контролирует центр сертификации. В него входят те сертификаты, которые он выдал и отозвал до конца установленного срока их действия. В ARL входят сертификаты, которые были либо аннулированы, либо отмечены как временно недействительные.

ARL не содержит сертификаты с истекшим сроком действия. Кроме того, эмитент ARL — необязательно тот же центр сертификации, который выдал отозванный документ.

Стандарт X.509 определяет формат и семантику ARL для инфраструктуры открытых ключей. В каждой записи должен быть серийный номер отозванного сертификата и дата отзыва. Он также может содержать ограничение по времени и неважно, применяется ли отзыв в течение определенного периода времени. Также указывается причина отзыва.

Причины аннулирования цифрового сертификата

Цифровые сертификаты X.509 крайне важны в PKI и сетевой безопасности. У каждого из них есть конечный срок действия, но есть причины прекратить его действие раньше. Этот процесс иногда называют отзывом сертификата PKI.

Например, центр сертификации может обнаружить, что он неправильно выдал сертификат, отозвать исходный документ и переоформить новый. Или выяснится, что сертификат подделан, и в этом случае он будет отозван и добавлен в ARL. Наиболее распространенная причина отзыва — когда закрытый ключ был скомпрометирован.

Другие основания для аннулирования сертификата:

  1. Получатель сертификата перестал владеть ресурсом, для которого он был предоставлен.
  2. Владелец полностью свернул свою деятельность.
  3. Начальный сертификат был заменен другим сертификатом от стороннего эмитента.