Minden kiállított tanúsítványnak van egy bizonyos érvényességi időtartama. A tanúsítványnak az eredeti érvényességi időtartam előtti visszavonása érvényteleníti a tanúsítványt mint megbízható biztonsági hitelesítő adatot. Több oka is lehet annak, hogy egy tanúsítvány már érvényességi időtartamának lejárta előtt sem tekinthető megbízható biztonsági hitelesítőnek. Ide sorolhatók például az alábbiak:
-
Visszaélés a tanúsítvány tulajdonosának titkos kulcsával vagy a visszaélés gyanúja.
-
Visszaélés a hitelesítésszolgáltató titkos kulcsával vagy a visszaélés gyanúja.
-
Annak felismerése, hogy a tanúsítványt csalással szerezték meg.
-
Változás a tanúsítvány tulajdonosa mint megbízható személy minősítésében.
-
A tanúsítványtulajdonos nevének változása.
Nem mindig van lehetőség a hitelesítésszolgáltató vagy más megbízható kiszolgáló elérésére a tanúsítványok érvényességére vonatkozó információk megszerzéséhez. Ahhoz, hogy az ügyfél hatékonyan tudja támogatni a tanúsítványok állapotának ellenőrzését, biztosítani kell hozzáférését a visszavonási adatokhoz, annak megítélése érdekében, hogy adott tanúsítvány érvényes vagy már visszavonták. Különféle forgatókönyvek támogatása érdekében az Active Directory tanúsítványszolgáltatások támogatják a tanúsítvány-visszavonás szabványos módszereit. Ezek közé tartozik a visszavonási listák és különbözeti visszavonási listák közzétetele. Ezeket a listákat az ügyfelek számára több helyről is elérhetővé lehet tenni, pl. az Active Directory tartományi szolgáltatásokból, a webkiszolgálókból és a hálózati fájlmegosztásokból.
Megjegyzés | |
A Windows Server 2008 R2 és a Windows Server 2008 rendszerben egy online válaszadó használatával összetett hálózati környezetben is megkönnyíthető a visszavonási adatok elérhetősége. Az online válaszadók a visszavonási listák tanúsítvány-visszavonási adatait használják, az ügyfelek tanúsítványállapotra vonatkozó kérelmeit pedig egyenként dolgozzák fel. |
A visszavonási listák a visszavont tanúsítások teljes, digitálisan aláírt listái. A listákat bizonyos időközönként közzéteszik, így azokat az ügyfelek (a visszavonási lista beállított élettartama alapján) lekérdezhetik és gyorsítótárazhatják, illetve a listák a tanúsítványok visszavonási állapotának ellenőrzésére használhatók.
Mivel a visszavonási listák a hitelesítésszolgáltató által kiállított és visszavont tanúsítványok számától függően igen hosszúak is lehetnek, lehetőség van különbözeti visszavonási listának nevezett rövidebb, átmeneti listák közzétételére is. A különbözeti visszavonási listák csak azokat a tanúsítványokat tartalmazzák, amelyeket a normál visszavonási lista legutolsó közzététele óta vontak vissza. Ez lehetővé teszi az ügyfél számára a kisebb különbözeti visszavonási listák beolvasását és a visszavont tanúsítványok teljes listájának gyorsabb összeállítását. A különbözeti visszavonási listák használata lehetővé teszi a visszavonási adatok gyakoribb közzétételét is, mivel a különbözeti visszavonási listák átvitele – méretüknek köszönhetően – általában nem igényel annyi időt, mint a teljes visszavonási listáké.