Ogni certificato è rilasciato con un determinato periodo di validità. La revoca di un certificato lo invalida come credenziale di sicurezza attendibile prima della scadenza del periodo di validità originale. Vi sono vari motivi per i quali un certificato può divenire inattendibile come credenziale di sicurezza prima della scadenza programmata. Esempi:
-
Compromissione accertata o sospettata della chiave privata del soggetto del certificato.
-
Compromissione accertata o sospettata della chiave privata di un'Autorità di certificazione (CA).
-
Scoperta che un certificato era stato ottenuto in modo fraudolento.
-
Modifica dello stato del soggetto del certificato come entità attendibile.
-
Modifica del nome del soggetto del certificato.
Non sempre è possibile contattare una CA o un altro server attendibile per ottenere informazioni sulla validità di un certificato. Per poter controllare lo stato di un certificato, il client deve avere accesso ai dati di revoca per determinare se il certificato è valido o è stato revocato. Per garantire l'utilizzo in diversi scenari, Servizi certificati Active Directory supporta i metodi standard per la revoca dei certificati, inclusa la pubblicazione degli elenchi di revoche di certificati (CRL) e dei Delta CRL, che possono essere resi disponibili per i client in diverse posizioni, quali Servizi di dominio Active Directory, server Web e condivisioni di rete
 | Nota |
|
In Windows Server 2008 R2 e Windows Server 2008 è possibile utilizzare un Risponditore in linea per migliorare l'accesso ai dati CRL in ambienti di rete complessi. Il Risponditore in linea utilizza i dati di revoca dei certificati presenti nei CRL ed elabora singolarmente le richieste di stato dei certificati provenienti dai client. |
Gli elenchi CRL sono elenchi completi, firmati digitalmente, di certificati revocati. I client possono recuperare questi elenchi, pubblicati periodicamente, memorizzarli nella cache per la durata configurata del CRL e utilizzarli per verificare lo stato di revoca di un certificato.
I CRL possono raggiungere dimensioni considerevoli se la CA rilascia e revoca un gran numero di certificati; per questo è anche possibile pubblicare dei CRL intermedi di dimensioni ridotte, detti Delta CRL. I Delta CRL contengono solo i certificati revocati dopo la pubblicazione dell'ultimo CRL normale. I client possono così limitarsi a recuperare i Delta CRL e creare più rapidamente un elenco completo dei certificati revocati. L'utilizzo dei Delta CRL consente inoltre la pubblicazione più frequente dei dati di revoca, in quanto le dimensioni contenute dei Delta CRL comportano generalmente tempi di trasferimento ridotti rispetto ai CRL completi.