Certificate Revocation List
Certificate Revocation List hay viết tắt là CRL, là danh sách các chứng chỉ đã bị thu hồi trước ngày hết hạn bởi các cơ quan chứng nhận. Có thể có nhiều lý do khiến một chứng chỉ bị thu hồi. Tuy nhiên, ý tưởng chính ở đây là cung cấp một vị trí trung tâm cho các máy khách web như trình duyệt để kiểm tra xem chứng chỉ SSL / TLS của trang web có đáng tin hay không.
Tại sao chứng chỉ SSL bị thu hồi?
Có nhiều lý do tại sao một chứng chỉ có thể bị thu hồi. Trước khi đi vào chi tiết cụ thể, cần lưu ý rằng một chứng chỉ bị thu hồi không có nghĩa là một chứng chỉ đã hết hạn mà là một chứng chỉ đang hoạt động đã được nghỉ hưu. Theo RFC 5280 , những lý do khiến chứng chỉ có thể bị thu hồi bao gồm:
- Không xác định
- keyCompromise
- cACompromise
- affiliationChanged
- Bị ngừng hoạt động
- cessationOfOperation
- Chứng chỉ bị tạm giữ
- Bị xóa khỏi CRL
- privilegeWithdrawn
- aACompromise
Những lý do được xác định ở trên, tuy nhiên, có thể không hoàn toàn rõ ràng. Do đó, đây là ba ví dụ phổ biến trong thế giới thực về lý do tại sao chứng chỉ có thể được thêm vào danh sách hủy bỏ.
- Khóa riêng đã bị mất hoặc bị xâm phạm, do đó nó không còn được tin cậy
- Chủ sở hữu trước đó của tên miền không còn sở hữu tên miền đó hoặc ngừng hoạt động hoàn toàn
- Giấy chứng nhận được phát hiện là giả mạo
Danh sách thu hồi chứng chỉ (CRL) hoạt động như thế nào?
Danh sách thu hồi chứng chỉ về cơ bản là một danh sách lớn các chứng chỉ trong danh sách đen được duy trì bởi các cơ quan chứng nhận nhất định. Khi một trình duyệt đưa ra yêu cầu đến một trang có chứng chỉ SSL / TLS, nó sẽ tuân theo quy trình dưới đây.
- Yêu cầu GET được gửi đến trang hỗ trợ HTTPS.
- Cơ quan chứng nhận nhận được yêu cầu đó và trả về một danh sách tất cả các chứng chỉ bị thu hồi.
- Trình duyệt sau đó phân tích cú pháp CRL để đảm bảo rằng chứng chỉ của trang được yêu cầu không có trong đó.
Duy trì một danh sách thu hồi chứng chỉ có thể khó khăn. Nó đòi hỏi cập nhật và thay đổi liên tục và do đó dễ bị lỗi. Hơn nữa, tùy thuộc vào thời điểm CRL được cập nhật lần cuối, có thể yêu cầu trình duyệt đến một trang web có chứng chỉ bị thu hồi sẽ bật đèn xanh vì danh sách không được cập nhật kịp thời.
Công cụ danh sách thu hồi chứng chỉ
Có một số cách bạn có thể kiểm tra CRL của cơ quan cấp chứng chỉ. Một trong số đó là thông qua việc sử dụng Google Chrome và kiểm tra chi tiết chứng chỉ bằng cách click vào ổ khóa ở địa chỉ của trình duyệt như hình dưới đây
Từ đây, nhấp vào Chi tiết và cuộn xuống nơi bạn sẽ thấy Điểm phân phối CRL của CRL.
Bạn thấy được liên kết danh sách CRL, tùy từng loại chứng chỉ hoặc hãng cung cấp CA mà url CRL khác nhau
Ví dụ như www.pavietnam.vn đang sử dụng chứng chỉ SSL của Geotrust thì link CRL là http://cdp.geotrust.com/GeoTrustEVRSACA2018.crl