Was ist eine Certificate Revocation List (CRL)?
Wenn ein digitales Zertifikat nicht mehr gültig ist, weist es wie eine rote Fahne auf potenzielle Risiken bei der Online-Datenübertragung hin. Sogenannte Certificate Revocation Lists (CRLs), also Zertifikatssperrlisten, behalten den Überblick über widerrufene Zertifikate und sorgen so für mehr Sicherheit im Internet. Erfahren Sie hier, was eine Certificate Revocation List genau ist, wer sie ausstellt und was es bei der Nutzung zu beachten gilt.
Definition: Was ist eine CRL?
Bei der Zertifikatswiderrufsliste (Certificate Revocation List, CRL) ist der Name Programm: Es handelt sich um eine Sperrliste mit widerrufenen digitalen Zertifikaten. Sie enthält eine Übersicht über alle Zertifikate, die eine Zertifizierungsstelle (CA) vor dem ursprünglichen Ablaufdatum widerrufen hat. Ein anderer Name für diese Prozedere ist PKI-Zertifikatssperrung. Certificate Revocation Lists bilden einen wichtigen Bestandteil von Public-Key-Infrastrukturen (PKI), über die sich die Identität von Benutzern, Geräten und Anwendungen mit Hilfe von kryptographischen Schlüsseln verifizieren lassen.
Zertifizierungsstellen erstellen die CRLs innerhalb einer PKI. Dabei ist nur die CA berechtigt, ein bestimmtes Zertifikat zu widerrufen, die es herausgegeben hat. CRLs kommen überall dort zum Einsatz, wo digitale Zertifikate für mehr Sicherheit und Integrität in der Online-Kommunikation sorgen. Beispielsweise arbeiten sie ständig im Hintergrund, während wir im Internet surfen: Der Browser prüft die CRL der jeweils aufgerufenen Websites. Findet er dabei ein Zertifikat aus der CRL, vertraut er der Website oder der Anwendung nicht, die mit diesem Zertifikat verbunden ist und warnt vor deren Nutzung.
Kurze Rekapitulation: Was ist ein digitales Zertifikat?
Ein digitales Zertifikat ist eine Datei, die als elektronischer Echtheitsnachweis mit zwei Funktionen dient: Es verwendet ein kryptografisches Schlüsselpaar, mit dessen Hilfe es die Identität von Servern, Websites, Geräten, Anwendungen oder Personen verifiziert. Außerdem sorgen digitale Zertifikate für einen verschlüsselten und somit sicheren Datenverkehr zwischen den von ihnen zertifizierten Einheiten. Sie bilden somit einen entscheidenden Grundpfeiler für die Nutzung einer PKI und für mehr Websicherheit.
Warum muss ein digitales Zertifikat widerrufen werden?
Es gibt mehrere Gründe dafür, dass eine CA ein digitales Zertifikat widerruft und somit auf seine Certificate Revocation List setzt: Beispielsweise kann der private Schlüssel des Zertifikats verloren gegangen oder anderweitig kompromittiert sein oder es ist ein Fehler bei der Ausstellung des Zertifikats unterlaufen. Egal aus welchem vom Grund: Wenn ein Zertifikat auf einer CRL steht, ist es nicht mehr vertrauenswürdig.
Die Aktualisierung und einfache Bereitstellung von CRLs gehört zu den Hauptaufgaben einer Zertifizierungsstelle. Denn damit die Sicherheit ihrer Dienste gewährleistet ist, müssen CAs ihre Certificate Revocation Lists regelmäßig updaten. Außerdem müssen sie sicherstellen, dass Nutzer leicht auf sie zugreifen und den Widerrufsstatus von Zertifikaten überprüfen können.
Wie werden CRLs verwaltet?
Die genauen Schritte zur Erstellung und Verwaltung einer CRL hängen von der jeweiligen CA ab. Trotzdem gibt es grundsätzliche Abläufe. Dazu zählen die Erstellung, Verifizierung, Verteilung und die Aktualisierung der CRL-Zertifikate. All diese Schritte sind für die Wirksamkeit und Sicherheit des Systems erforderlich:
- CRL-Erstellung: Eine CA verfügt in der Regel über eine Option zur Erstellung einer CRL. Dabei fasst sie alle widerrufenen Zertifikate in einer einzigen Liste zusammen.
- Signieren der CRL: Genau wie ihre digitalen Zertifikate signiert die Zertifizierungsstelle auch ihre Certificate Revocation Lists, um deren Authentizität zu überprüfen.
- Verteilen der CRL: Sobald die CRL erstellt und signiert ist, muss die CA sie zugänglich machen. Dazu wird sie in der Regel über eine CRL-Verteilungsstelle wie einem öffentlichen Server gehostet und in Umlauf gebracht. So können Endnutzer über die CRL-Verteilungsstelle den Widerrufsstatus eines Zertifikats überprüfen. Außerdem sendet die Verteilungsstelle die CRL an alle Stellen, die sie anfordern.
- Widerrufsprüfung: Für die Prüfung eines Zertifikats ruft das System die CRL mit allen widerrufenen Zertifikaten zunächst am festgelegten Verteilungspunkt ab und vergleicht sie mit dem vorgelegten Zertifikat. Wenn es in der CRL aufgeführt ist, wird es als nicht vertrauenswürdig eingestuft und die Verbindung abgelehnt.
- Zeitplan für Aktualisierungen: Eine CA muss ihre Certificate Revocation Lists regelmäßig auf den neuesten Stand bringen, damit deren Integrität und Zuverlässigkeit gewährleistet ist. So vermeidet sie das Risiko, dass veraltete Informationen die Sicherheit sensibler Daten gefährden. Die Aktualisierung ist dabei weniger eine manuelle Aufgabe als ein komplexes, technisches Verfahren mit spezifischen Protokollen.
In der Praxis läuft eine ordnungsgemäß konfigurierte CRL innerhalb einer guten PKI-Lösung in den meisten Fällen von selbst. Sie erfordert wenig Interaktion und beinhaltet eine Verwaltungssuite, mit der sich Zertifikate mit nur wenigen Klicks widerrufen lassen.
Was sind die Nachteile von CRLs und wie lassen sie sich abmildern?
Certificate Revocation Lists spielen einerseits eine entscheidende Rolle bei der Gewährleistung der Sicherheit digitaler Zertifikate. Wie jede technologische Lösung bringen sie andererseits aber auch eine Reihe von Nachteilen und Herausforderungen mit sich.
- Umfang der CRLs: Mit der Anzahl der ausgestellten Zertifikate werden die CRLs immer größer. Das macht ihre Speicherung und Verteilung zu einer anspruchsvollen Aufgabe, die mit längeren Verarbeitungszeiten und einem höheren Bandbreitenverbrauch einhergeht.
- Latenzzeit: Auch wenn eine Certificate Revocation List in regelmäßigen Abständen aktualisiert wird, kommt es zu Verzögerungen zwischen dem Widerruf eines Zertifikats und seiner Aufnahme in die CRL. Das kann zu Sicherheitslücken führen.
- Abhängigkeit von der CRL-Infrastruktur: Falls die CRL-Verteilungsstelle oder die CA als CRL-Aussteller ausfällt, kann der Überprüfungsprozess beeinträchtigt werden. Zertifikate lassen sich dann nur schwer auf ihre Gültigkeit prüfen.
- Skalierbarkeit: Mit zunehmender Anzahl von Zertifikaten wird es immer komplexer, eine effiziente CRL-Infrastruktur aufrechtzuerhalten. Das kann zu längeren Verarbeitungs- und Antwortzeiten führen und die Gesamteffizienz des Systems beeinträchtigen.
- Keine Echtzeit-Überprüfung: Über Certification Revocation Lists können Benutzer nicht in Echtzeit prüfen und somit bis zur nächsten CRL-Aktualisierung unwissentlich einem widerrufenen Zertifikat vertrauen.
Um diese Probleme zu lösen, wurden unter anderem das Online Certificate Status Protocol (OCSP) und Certificate Transparency (CT) in einem revisionssicheren Logbuch entwickelt, auf die wir im Folgenden genauer eingehen.
Wie unterscheiden sich CRL und Certificate Transparency (CT)?
Certificate Revocation Lists und Certificate Transparency (CT) Logs zielen beide darauf ab, die Sicherheit und Transparenz von digitalen Zertifikaten zu verbessern. Allerdings hat insbesondere Google die Entwicklung von CT nach einem erfolgreichen Hackerangriff auf die Systeme der Zertifizierungsstelle DigiNotar explizit vorangetrieben, um die Schwachstellen von CRLs auszugleichen:
Während CRLs dazu dienen, kompromittierte Zertifikate zu widerrufen, sollen CT-Logs betrügerische oder bösartige Zertifikate erkennen und deren Nutzung verhindern. Bei CT-Logs handelt es sich um manipulationssichere, öffentliche Listen aller von vertrauenswürdigen CAs ausgestellten Zertifikate. Die Protokolle gelten als besonders nützlich, um falsch ausgestellte oder betrügerische Zertifikate zu erkennen.
Unterschied zwischen CRL und Online Certificate Status Protocol
Auch das Online Certificate Status Protocol (OCSP) prüft in Echtzeit, ob ein einzelnes digitales Zertifikat noch gültig ist oder nicht. Das reduziert die Menge der übertragenen Daten im Vergleich zu einer CRL erheblich und verbessert die Leistung sowie DoS-Abwehr. OCSP birgt im Gegenzug mögliche Probleme für den Datenschutz: Denn durch die Abfrage eines bestimmten Zertifikats zu einem genauen Zeitpunkt gibt es der Zertifizierungsstelle auch Informationen über die jeweilige Nutzung preis. Außerdem kann OCSP kann Zertifizierungsstellen verstärkt belasten, wenn viele verschiedene Kunden bestimmte Zertifikate häufig in Anspruch nehmen – beispielsweise für beliebte Websites.
Zusammenfassung
Eine CRL Certification Revocation List trägt also dazu bei, die Sicherheit der digitalen Kommunikation zu gewährleisten. Sie kann kompromittierte oder widerrufene Zertifikate für ungültig erklären und deren Nutzung verhindern. Bei einer wirksamen Umsetzung sichert sie die Integrität von Online-Transaktionen und -Kommunikation und trägt so zu mehr Vertrauenswürdigkeit bei. Gleichzeitig weist die Technologie einige Schwachstellen auf und entwickelt sich ständig weiter. Ein kontinuierliches Management und umsichtiger Umgang mit der CRL sind für die Cybersicherheit von Unternehmen also unerlässlich.
Häufig gestellte Fragen (FAQ)
Was ist eine Zertifikatswiderrufsliste?
Eine Zertifikatswiderrufsliste (Certificate Revocation List, CRL) ist eine Sperrliste für widerrufene und somit ungültige digitale Zertifikate. Sie beinhaltet alle Zertifikate, die eine Zertifizierungsstelle (CA) vor dem ursprünglichen Ablaufdatum zurückgezogen hat.
Wo finde ich die Zertifikatswiderrufsliste?
Die Certificate Revocation List lässt sich in der Regel direkt über die Zertifikate aufrufen. Öffnen Sie das Zertifikat und suchen Sie über die Zertifikatserweiterungen die Zertifikatsdetails und die Option CRL-Verteilungspunkte. Dort finden Sie die URLs der ausstellenden CA für die gesuchte CRL.
Wann muss ein Zertifikat zurückgezogen werden?
Eine CA sperrt ein digitales Zertifikat, wenn der private Schlüssel des Zertifikats verloren gegangen oder anderweitig kompromittiert ist oder wenn das Zertifikat fehlerhaft oder unberechtigt ausgestellt wird. Sobald ein Zertifikat auf einer CRL erscheint, ist es nicht mehr vertrauenswürdig.