قائمة نقض الشهادات
قائمة نقض الشهادات هي قائمة تحتوي على الأرقام التسلسلية للشهادات المنقوضة وذات الصلاحية المنتهية أو غير المعتمدة.[1][2][3]
أسباب نقض الشهادات
[عدل]هنالك أسباب مختلفة للنقض في RFC 3280، منها :
- المنقوضة : الشهادة منقوضة نهائيا ومدرجة في قائمة النقض إذا كانت، على سبيل المثال، كـُشف ان مصدر الشهادة (CA) أصدر شهادة غير مناسبة أو أن المفتاح الخاص أصبح معروفا. ويمكن أن تنقض الشهادة أيضا بسبب فشل في تحديد هوية الكيان المرتبط بسند أمانة المتطلبات مثل نشر مستندات مزورة، السبب الشائع لنقض الشهادات هو أن المستخدم ليس هو الوحيد الذي يملك مفتاح خاص معين، مثال على ذلك، أن العلامة التي تحتوي على المفتاح الخاص قد فـُقدت أو سُرقت.
- المعلقة (الموقوفة) : هذه الحالة تستخدم لتوضيح أن عدم صلاحية الشهادة هو مؤقت، على سبيل المثال عندما يكون المستخدم غير متأكد إذا كان المفتاح الخاص قد فقد أو لا، في هذه الحالة إذا عثر على المفتاح الخاص دون أن يصل إليه أحد، ترجع الشهادة لصلاحيتها، وعليه تحذف الشهادة من قائمة النقض.
عادة تجدد قائمة النقض بشكل دوري بعد تحديد إطار زمني معين. بشكل اختياري يمكن أن تجدد حال رفض أي شهادة وإضافتها للقائمة. مصدر الشهادة هو الذي يصدر قائمة النقض دائما. جميع قوائم النقض لها مدة صلاحية (عادة قصيرة) تكون فيها صالحة وتكون فيها مختارة من قبل تطبيقات البنية الأساسية للمفتاح العام للتأكد من نظائر الشهادة قبل استخدامها. لمنع هجمات الخداع وإنكار الخدمة، تكون قائمة النقض عادة موقعة عن طريق مصدرالشهادة أو بتوقيع رقمي. للتصديق على قائمة نقض معينة قبل اعتمادها نحتاج إلى الشهادة والمصدر المرتبط بها، والذي يُحصل علية عادة من الدليل. تاريخ انتهاء صلاحية الشهادة ليس بديل عن قائمة النقض حيث أنه يمكن اكتشاف المشكلة في حين أن تاريخ انتهاء الصلاحية لم يحن بعد.
المشاكل التي تواجه قوائم نقض الشهادات عامة
[عدل]التطبيق الأمثل يكون في اختيار الوقت والكيفية التي تتضمن فيها حالة الشهادة، ويجب فحصها عندما يريد أحد ما اعتماد الشهادة. والفشل في ذلك يؤدي إلى أن تقبل الشهادة المنقوضة على أنها صالحة. هذا يعني أنه لاستخدام البنية الأساسية للمفتاح العام بطريقة فعالة يجب الوصول لقائمة النقض الحالية.
إذا نقضت شهادة ما بالخطأ، ستظهر مشاكل هامة. يعمل مصدر الشهادة على تنفيذ السياسة العملية لإصدار الشهادات هو أيضا مسؤول بشكل خاص عن تحديد الوقت الذي يكون فيه النقض مناسب عن طريق تفسير السياسة العملية.
إن أهمية الرجوع إلى قائمة النقض، أوالخدمات الأخرى التي تقدم تقارير عن حالات الشهادة قبل قبول شهادة ما تكمن في مكافحة ظهور احتمال هجوم إنكار الخدمة ضد البنية الأساسية للمفتاح العام. وهنالك بديل لاستخدام قوائم النقض وهو مفيد لزبائن البرمجيات هو بروتوكول صلاحية الشهادة عبر الإنترنت (OCSP).
مراجع
[عدل]- ^ "What is Certificate Revocation List (CRL)? - Definition from WhatIs.com". TechTarget. مؤرشف من الأصل في 2018-07-20. اطلع عليه بتاريخ 2017-10-26.
- ^ RFC 5280 p69 نسخة محفوظة 24 يونيو 2018 على موقع واي باك مشين.
- ^ "As of Firefox 28, Firefox will not fetch CRLs during EV certificate validation". مؤرشف من الأصل في 2020-04-13.