Her sertifika belirli bir geçerlilik süresiyle yayımlanır. Bir sertifika iptal edildiğinde, geçerlilik süresi sona ermeden önce, sertifikanın güvenilen bir güvenlik kimlik belgesi olarak geçerliliği sona ermiş olur. Bir sertifikanın zamanlanan süre sonu gelmeden, güvenlik belgesi olarak güvenilmez duruma düşmesinin birçok nedeni olabilir. Örneğin:
-
Sertifika öznesinin özel anahtarıyla ilgili uzlaşma olması veya uzlaşmadan kuşkulanılması.
-
Sertifika yetkilisinin (CA) özel anahtarıyla ilgili uzlaşma olması veya uzlaşmadan kuşkulanılması.
-
Sertifikanın hileyle ele geçirildiğinin anlaşılması.
-
Güvenilen bir varlık olarak sertifika öznesinin durumunda değişiklik olması.
-
Sertifika öznesinin adında değişiklik olması.
Bir sertifikanın geçerliliğiyle ilgili bilgi almak üzere bir CA veya güvenilen başka bir sunucuyla iletişim kurmak her zaman mümkün olmaz. Sertifika durumu denetimini etkin şekilde desteklemek için, bir istemcinin iptal verilerine erişerek sertifikanın geçerli veya iptal edilmiş olup olmadığını belirleyebilmesi gerekir. Çeşitli senaryoları desteklemek üzere Active Directory Sertifika Hizmetleri (AD CS), endüstride standart kabul edilen sertifika iptal yöntemlerini destekler. Bunlar arasında yer alan sertifika iptal listeleri (CRL) ve delta CRL'ler yayımlama yöntemleri, Active Directory Etki Alanı Hizmetleri (AD DS), Web sunucuları ve ağ dosya paylaşımları dahil olmak üzere çeşitli yerlerden istemcilerin kullanımına sunulabilir.
Not | |
Windows Server 2008 R2 ve Windows Server 2008 işletim sistemlerinde, CRL verilerini karmaşık ağ ortamlarında daha kolay erişilebilir hale getirmek için bir Çevrimiçi Yanıtlayıcı kullanılabilir. Çevrimiçi Yanıtlayıcı, CRL'lerden gelen sertifika iptal verilerini kullanır ve istemcilerden gelen sertifika durum isteklerini ayrı ayrı işler. |
CRL'ler iptal edilen sertifikaların tam ve dijital olarak imzalanmış listesidir. Bu listeler düzenli aralıklarla yayımlanır ve istemciler tarafından alınıp önbelleğe yerleştirilerek (CRL'nin yapılandırılmış yaşam süresine göre) sertifikaların iptal durumunu doğrulamak için kullanılabilir.
CRL'ler büyüyebildiğinden, bir CA tarafından verilen ve iptal edilen sertifika sayısına bağlı olarak, delta CRL adı verilen daha küçük, geçici CRL'ler de yayımlayabilirsiniz. Delta CRL'ler yalnızca, düzenli yayımlanan son CRL'den itibaren iptal edilen sertifikaları içerir. Böylece istemciler daha küçük delta CRL'yi alarak iptal edilen sertifikaların listesini daha hızlı şekilde oluşturabilirler. Boyutu sayesinde Delta CRL'nin aktarılması tam CRL kadar uzun sürmediğinden, delta CRL kullanmak iptal verilerini daha sık yayımlanmasına da olanak sağlar.