Todo certificado é emitido com um determinado período de validade. A revogação de um certificado o invalida como uma credencial de segurança confiável antes que seu período de validade original expire. Há vários motivos para um certificado tornar-se não confiável como uma credencial de segurança antes de sua expiração agendada. Alguns exemplos:

  • Compromisso ou suspeita de comprometimento da chave privada da entidade do certificado.

  • Comprometimento ou suspeita de comprometimento da chave privada da autoridade de certificação (CA).

  • Descoberta de que o certificado foi obtido de forma fraudulenta.

  • Modificação no status de entidade confiável da entidade do certificado.

  • Modificação no nome do requerente do certificado.

Nem sempre é possível contatar uma autoridade de certificação ou outro servidor confiável para obter informações sobre a validade de um certificado. Para oferecer suporte à verificação do status do certificado, um cliente deve ter acesso aos dados da revogação para determinar se este é válido ou se foi revogado. Para oferecer suporte a diversas situações, os Serviços de Certificados do Active Directory (AD CS) suportam métodos padrão da indústria de revogação de certificados. Esses incluem a publicação de listas de certificados revogados (CRLs) e CRLs delta, que podem estar disponíveis a clientes de diversos locais, incluindo de Serviços de Domínio Active Directory (AD DS), servidores Web e compartilhamentos de arquivos de rede.

Observação

No Windows Server 2008 R2 e no Windows Server 2008, um Respondente Online pode ser usado para tornar os dados da CRL acessíveis mais rapidamente em ambientes de rede complexos. O Respondente Online usa os dados de revogação de certificados das CRLs e processa individualmente as solicitações de status de certificados dos clientes.

As CRLs são listas completas e assinadas digitalmente de certificados revogados. Essas listas são publicadas periodicamente e podem ser recuperadas e armazenadas pelos clientes (com base no tempo de vida configurado da CRL) e usadas para verificar o status de revogação de um certificado.

Uma vez que as CRLs podem tornar-se extensas, dependendo do número de certificados emitidos e revogados pela autoridade de certificação, você também pode publicar CRLs menores, provisórias, chamadas de CRLs delta. As CRLs delta contêm somente os certificados revogados desde a publicação da última CRL regular. Isso permite que os clientes recuperem a CRL delta menor e crie uma lista completa dos certificados revogados mais rapidamente. O uso de CRLs delta também permite que os dados da revogação sejam publicados com mais frequência porque o tamanho da CRL delta geralmente não exige o mesmo tempo de transferência necessário que uma CRL completa.


Sumário