U7.5 Listas de anulación de certificados (CRLs)

Los certificados tienen un periodo de validez que va de unos meses a unos pocos años. Durante el tiempo que el certificado es válido la entidad certificadora que lo generó mantiene información sobre el estado de ese certificado.
La información más importante que guarda es el estado de anulación. Las razones de anulación de un certificado son varias:

  • la clave privada del sujeto se ha visto comprometida,
  • la clave privada de la CA se ha visto comprometida o
  • se ha producido un cambio en la afiliación del sujeto (por ejemplo cuando un empleado abandona una empresa).

Las listas de anulación de certificados (Certification Revocation Lists o CRL) son un mecanismo mediante el cual la CA publica y distribuye información acerca de los certificados anulados a las aplicaciones que los emplean. Una CRL es una estructura de datos firmada por la CA que contiene su fecha y hora de publicación, el nombre de la entidad certificadora y los números de serie de los certificados anulados que aún no han expirado.

Cuando una aplicación trabaja con certificados debe obtener la última CRL de la entidad que firma el certificado que está empleando y comprobar que su número de serie no está incluido en él.