Elk certificaat dat wordt verleend, heeft een bepaalde geldigheidsduur. Wanneer een certificaat wordt ingetrokken, verliest het zijn geldigheid als betrouwbare beveiligingsreferentie voordat de oorspronkelijke geldigheidsduur is verstreken. Een certificaat kan om een aantal redenen zijn betrouwbaarheid vóór de geplande einddatum verliezen. Voorbeelden zijn onder meer:
-
Aantasting of een vermoeden van aantasting van de persoonlijke sleutel van de houder van het certificaat
-
Aantasting of een vermoeden van aantasting van de persoonlijke sleutel van een certificeringsinstantie (CA)
-
Ontdekking dat een certificaat onrechtmatig is verkregen
-
Wijziging in de status van de certificaathouder als vertrouwde entiteit
-
Wijziging van de naam van de certificaathouder
Het is niet altijd mogelijk om contact op te nemen met een CA of een andere vertrouwde server om informatie te krijgen over de geldigheid van een certificaat. Daarom moet de client toegang hebben tot intrekkingsgegevens om te kunnen bepalen of het certificaat geldig is of ingetrokken is. Active Directory Certificate Services (AD CS) ondersteunt industriestandaardmethoden voor het intrekken van certificaten, die ondersteuning bieden voor diverse scenario's. Een voorbeeld van een methode is het uitgeven van certificaatintrekkingslijsten (CRL's) en delta-CRL's, die op verschillende locaties beschikbaar kunnen worden gesteld aan clients, inclusief Active Directory Domain Services (AD DS), webservers en netwerkbestandsshares.
 | Opmerking |
|
In Windows Server 2008 R2 en Windows Server 2008 kan een onlineresponder worden gebruikt om CRL-gegevens beter toegankelijk te maken in complexe netwerkomgevingen. Een onlineresponder gebruikt de certificaatintrekkingsgegevens van CRL's en verwerkt de status van elke certificaataanvraag van clients afzonderlijk. |
CRL's zijn volledige, digitaal ondertekende lijsten met certificaten die zijn ingetrokken. Deze lijsten worden periodiek uitgegeven en kunnen door clients worden opgehaald en in de cache worden opgeslagen (op basis van de geconfigureerde levensduur van de CRL). Ze kunnen dan worden gebruikt om de intrekkingsstatus van een certificaat te controleren.
Omdat CRL's zeer groot kunnen worden, afhankelijk van het aantal certificaten dat is verleend en ingetrokken door een CA, kunt u ook kleinere, tussentijdse CRL's publiceren die delta-CRL's worden genoemd. Delta-CRL's bevatten alleen de certificaten die zijn ingetrokken nadat de laatste normale CRL is gepubliceerd. Clients kunnen dan de kleinere delta-CRL ophalen en sneller een volledige lijst met ingetrokken certificaten samenstellen. Met delta-CRL's kunnen intrekkingsgegevens bovendien vaker worden gepubliceerd, omdat delta-CRL's door hun geringere omvang sneller kunnen worden overgedragen dan een complete CRL.