Un elenco di revoche di certificati (CRL) è un componente dello standard di sicurezza X.509 dell’International Telecommunication Union (ITU). Secondo lo standard X.509, un’autorità di certificazione (CA) può utilizzare un CRL per sospendere o revocare esplicitamente qualsiasi certificato di sicurezza digitale emesso e non scaduto. Il CRL viene quindi distribuito e utilizzato da vari programmi per computer per confermare la validità dei certificati di sicurezza utilizzati per identificare una fonte.
La generazione di un certificato di sicurezza da parte di una CA rientra nella cosiddetta infrastruttura a chiave pubblica (PKI). Attraverso una PKI, qualsiasi utente può essere identificato dalla chiave pubblica della sua coppia di chiavi di sicurezza, la chiave privata dell’utente è l’altra metà della coppia. Un utente contatta quindi una CA e, utilizzando la sua chiave pubblica come identificazione, richiede un certificato di sicurezza. Dopo aver verificato l’effettiva identità dell’utente, la CA può emettere un certificato vincolato alla chiave pubblica dell’utente. Con questo metodo, la CA agisce come una terza parte fidata, garantendo l’identità dell’utente a cui è stato rilasciato un certificato.
Un certificato di sicurezza digitale ha in genere una durata di uno o due anni. Dopo la scadenza del certificato, l’utente deve rinnovare il suo certificato esistente riconvalidando la sua identità o richiedendo un nuovo certificato a titolo definitivo. La data di scadenza di un certificato è inclusa nel certificato stesso, quindi il software del computer sa quando non onorare più un certificato scaduto. Ci sono momenti, tuttavia, in cui potrebbe essere necessario revocare un certificato prima della sua data di scadenza. Per questi casi, una CA deve mantenere un elenco di revoche di certificati che elenchi tutti i certificati che non sono scaduti ma non possono essere considerati attendibili per qualche motivo.
Un elenco di revoche di certificati contiene una serie di possibili motivi per la revoca di un certificato. Il più comune è che la chiave privata per il proprietario del certificato non è più sicura, a quel punto il certificato rimane nell’elenco fino alla sua data di scadenza. In questo caso, l’utente deve generare una nuova coppia di chiavi e richiedere un certificato completamente nuovo.
Ci sono, ovviamente, altri motivi per cui un certificato può apparire nella CRL. Un certificato può essere elencato se è stato sostituito da un altro o c’è qualche modifica alle informazioni contenute nel certificato sul suo proprietario, o se la stessa CA è stata compromessa, dopodiché la stessa CA apparirà in quello che viene chiamato un elenco di revoche di autorità (ARL). Un altro motivo per cui un certificato può apparire su un CRL è perché il certificato è stato messo in attesa per qualche motivo. Nel caso di un certificato indicato come detenuto, può essere reintegrato nella successiva CRL distribuita dalla CA. Le numerose e frequenti modifiche allo stato dei certificati di sicurezza digitale significano che un elenco di revoche di certificati di solito ha un’aspettativa di vita di circa 24 ore, anche se a volte inferiore.