O que é : Certificate Revocation List

Publicado em 22 de junho de 2024 por

O que é Certificate Revocation List (CRL)?

A Certificate Revocation List (CRL) é uma lista de certificados digitais que foram revogados antes da data de expiração prevista. Essa lista é mantida por uma Autoridade de Certificação (CA) e é usada para verificar se um certificado digital ainda é válido ou se foi revogado por algum motivo.

Como funciona a Certificate Revocation List?

Quando um certificado digital é emitido, ele possui uma data de validade. No entanto, em alguns casos, o certificado pode precisar ser revogado antes dessa data de validade devido a comprometimento da chave privada, perda do certificado, mudança de emprego, entre outros motivos. Quando isso acontece, a CA adiciona o certificado à CRL.

Por que a Certificate Revocation List é importante?

A CRL é importante porque garante a segurança dos certificados digitais. Se um certificado for revogado e não for verificado através da CRL, ele ainda poderá ser considerado válido, o que pode levar a riscos de segurança e comprometimento de dados sensíveis.

Como os sistemas utilizam a Certificate Revocation List?

Os sistemas que utilizam certificados digitais verificam a validade dos certificados consultando a CRL. Quando um certificado é apresentado, o sistema verifica se ele consta na lista de revogados. Se sim, o certificado é considerado inválido e a conexão é recusada.

Tipos de revogação de certificados

Existem dois tipos principais de revogação de certificados: revogação voluntária e revogação compulsória. A revogação voluntária ocorre quando o titular do certificado solicita a revogação por algum motivo. Já a revogação compulsória é feita pela CA devido a comprometimento da chave privada, por exemplo.

Como as CAs mantêm a Certificate Revocation List atualizada?

Para manter a CRL atualizada, as CAs emitem novas listas regularmente, geralmente a cada 24 horas. Além disso, as CAs também emitem listas delta, que contêm apenas os certificados revogados desde a última lista completa, para facilitar a atualização dos sistemas.

Problemas com a Certificate Revocation List

Apesar de ser uma ferramenta importante para garantir a segurança dos certificados digitais, a CRL também pode apresentar alguns problemas. Um dos principais é o tamanho da lista, que pode se tornar muito grande e difícil de ser consultada rapidamente.

Alternativas para a Certificate Revocation List

Uma alternativa à CRL é o Online Certificate Status Protocol (OCSP), que permite verificar o status de um certificado digital em tempo real, sem a necessidade de baixar uma lista completa de revogados. O OCSP é mais eficiente em termos de tempo e recursos.

Conclusão

A Certificate Revocation List é uma ferramenta essencial para garantir a segurança dos certificados digitais, permitindo que os sistemas verifiquem se um certificado ainda é válido ou se foi revogado. Apesar de apresentar alguns desafios, a CRL continua sendo amplamente utilizada pelas CAs e pelos sistemas que dependem de certificados digitais para garantir a autenticidade e a integridade das comunicações.