Home

Certificaatrevocatieprotocollen

Certificaatrevocatieprotocollen zijn mechanismen binnen een publieke sleutel infrastructuur (PKI) die de geldigheid van digitale certificaten waarborgen door intrekking te melden en te distribueren.

Een fundamenteel concept is de Certificate Revocation List (CRL). Een CA publiceert regelmatige lijsten van ingetrokken

Een ander belangrijk mechanisme is het Online Certificate Status Protocol (OCSP). OCSP maakt het mogelijk in

Voor verbetering van privacy en performance wordt vaak OCSP stapling toegepast. Hierbij levert de server bij

Naast CRL en OCSP spelen de AIA- en CDP-velden in certificaten een rol door locaties aan te

certificaten,
met
serienummers
en
vervaldatums.
CRLs
worden
verspreid
via
CRL
Distribution
Points
in
certificaten.
Delta-CRLs
bieden
incremental
updates
om
bandbreedte
en
verwerking
te
verminderen.
realtime
de
status
van
één
certificaat
op
te
vragen
bij
een
OCSP-responder,
die
de
status
teruggeeft
als
good,
revoked
of
unknown.
OCSP
biedt
snellere
controle
dan
een
volle
CRL
maar
introduceert
afhankelijkheid
van
responders
en
kan
privacyproblemen
veroorzaken
doordat
queries
informatie
prijsgeven
over
bezochte
sites.
een
TLS-verbinding
een
OCSP-respons
mee
zodat
de
client
geen
directe
aanvraag
hoeft
te
doen.
Een
aanvullende
trend
is
Must-Staple,
waarbij
een
OCSP-respons
verplicht
is
voor
het
accepteren
van
een
certificaat.
geven
van
OCSP-responses
en
CRLs.
Certificaatrevocatieprotocollen
vormen
een
essentieel
onderdeel
van
PKI-beveiliging,
maar
brengen
samenhangende
afwegingen
met
privacy,
beschikbaarheid
en
prestaties
met
zich
mee.