Cada certificado é emitido com um período de validade específico. A revogação de um certificado invalida-o como credencial de segurança fidedigna antes da expiração do período de validade original. Há uma série de razões por que um certificado se pode tornar não fidedigno como credencial de segurança antes da sua expiração agendada. Os exemplos incluem:
-
A chave privada do requerente do certificado está comprometida ou há suspeição de que esteja comprometida.
-
A chave privada da autoridade de certificação (AC) está comprometida ou há suspeição de que esteja comprometida.
-
Descoberta de que um certificado foi obtido de forma fraudulenta.
-
Alteração no estado do requerente do certificado como entidade fidedigna.
-
Alteração no nome do requerente do certificado.
Nem sempre é possível contactar uma AC ou outro servidor fidedigno para obter informações sobre a validade de um certificado. Para suportar com eficácia a verificação do estado dos certificados, o cliente tem de poder aceder aos dados da revogação para determinar se o certificado é válido ou se foi revogado. Para suportar uma variedade de cenários, os Serviços de Certificados do Active Directory (AD CS) suportam métodos de revogação de certificados que são norma do sector. Estes incluem a publicação de listas de revogação de certificados (CRLs) e de delta CRLs, que podem ser disponibilizadas aos clientes a partir de várias localizações, incluindo os Serviços de Domínio do Active Directory (AD DS), servidores Web e partilhas de ficheiros de rede.
Nota | |
No Windows Server 2008 R2 e no Windows Server 2008, é possível utilizar um Dispositivo de Resposta Online para que os dados da CRL fiquem acessíveis mais rapidamente em ambientes de rede complexos. Um Dispositivo de Resposta Online utiliza os dados da revogação de certificados das CRLs e processa pedidos de estado de certificados de clientes individualmente. |
As CRLs são listas completas e assinadas digitalmente de certificados que tenham sido revogados. Estas listas são publicadas periodicamente e podem ser obtidas e colocadas em cache por clientes (com base na duração configurada da CRL) e utilizadas para verificar o estado de revogação de um certificado.
Dado que as CRLs se podem tornar grandes, dependendo do número de certificados emitidos e revogados por uma AC, também pode publicar CRLs intermédias mais pequenas chamadas delta CRLs. As delta CRLs contêm apenas os certificados revogados desde que a última CRL regular foi publicada. Isto permite aos clientes obterem a delta CRL mais pequena e criarem mais rapidamente uma lista completa de certificados revogados. A utilização de delta CRLs também permite que os dados da revogação sejam publicados com mais frequência visto que o tamanho da delta CRL normalmente não exige tanto tempo de transferência quanto a CRL completa.