De verborgen risico's van verlopen certificaatintrekkingslijsten (CRL's)

Digitale certificaten een cruciale rol spelen in webbeveiliging en openbare sleutelinfrastructuur, wat zorgt voor veilige internetcommunicatie. Deze certificaten fungeren als digitale identificatiemiddelen die de legitimiteit van een website verifiëren. Stel je nu een scenario voor waarin je probeert toegang te krijgen tot een website, maar zonder dat je het weet, is het certificaat dat deze site valideert gecompromitteerd. Deze omissie opent een achterpoortje voor hackers om je gevoelige informatie te onderscheppen.

Om dergelijke problemen aan te pakken risico's, elk certificaat heeft een eindige geldigheidsperiode gedurende welke het als vertrouwd wordt beschouwd. Gedurende deze tijd kunnen zich echter situaties voordoen waarin de eigenaar of de Certificeringsinstantie Degene die het certificaat heeft uitgegeven, kan het als onbetrouwbaar verklaren. Als bijvoorbeeld de privésleutel van het certificaat is gecompromitteerd of als de eigenaar van het certificaat niet langer de controle heeft over het domein waarvoor het certificaat is uitgegeven, wordt het certificaat een risico. 

In een dergelijk geval wordt het niet-vertrouwde certificaat ingetrokken en worden de certificaatgebruikers hiervan op de hoogte gesteld. Dit gebeurt door het betreffende certificaat toe te voegen aan een Certificaatintrekkingslijst (CRL)Een CRL is simpelweg een zwarte lijst die wordt beheerd door de CA en die de certificaten bevat die niet vertrouwd mogen worden en niet langer geldig zijn. Hoewel deze CRL's het vertrouwen in de PKI infrastructuur, kan een verlopen CRL ons voor verborgen risico's en uitdagingen stellen die dit vertrouwen kunnen ondermijnen. 

Werking van CRL

CRL is de enige manier voor de PKI om te weten of een certificaat is ingetrokken vóór de vervaldatum. Hoewel de PKI een lijst met vertrouwde gebruikers biedt via uitgegeven certificaten, is het ook erg belangrijk om te weten welke gebruikers niet langer betrouwbaar zijn. CRL dient precies dit doel door de certificaten te vermelden die vóór de vervaldatum zijn ingetrokken. 

De stappen die bij CRL betrokken zijn, zijn als volgt: 

• Verzoekinitiatie

  De entiteit die het certificaat heeft uitgegeven, constateert dat het certificaat moet worden ingetrokken, mogelijk vanwege inbreuk, misbruik, enz., en stuurt een intrekkingsverzoek naar de uitgevende CA. Dit verzoek bevat doorgaans het serienummer van het certificaat en de reden voor de intrekking.

• Herroepingsverzoekproces

  Vervolgens controleert de CA de authenticiteit van het intrekkingsverzoek. Zodra het verzoek is gevalideerd, markeert de CA het certificaat als ingetrokken in haar interne administratie.

• Lijst bijwerken en ondertekenen

  Vervolgens voegt de CA de ingetrokken certificaten toe aan de lijst en werkt de CRL bij. De integriteit van de herziene CRL wordt vervolgens geverifieerd door de privésleutel van de CA te laten ondertekenen.

• CRL-publicatie

  De ondertekende CRL wordt gepubliceerd en beschikbaar gesteld aan het publiek en andere instanties die afhankelijk zijn van de door de CA uitgegeven certificaten. Dit gebeurt via verschillende methoden, zoals publicatie op een webserver en distributie via LDAP.

• CRL-distributie

  Browsers en servers verifiëren de status van certificaten door periodiek de CRL te downloaden vanaf de opgegeven locatie.

• CRL-gebruik

  Wanneer een browser of server nu een certificaat tegenkomt, wordt het serienummer ervan vergeleken met de gedownloade CRL. Als het certificaat in de CRL wordt aangetroffen, wordt het als ingetrokken beschouwd.

Hoe u de intrekkingsstatus van het certificaat kunt bekijken 

De CRL wordt door de certificeringsinstantie op een specifiek distributiepunt beschikbaar gesteld en is ook beschikbaar bij de certificaten. 

Als u het digitale certificaat hebt gedownload, kunt u het openen. Als het een certificaat met een website betreft, klikt u op het HANGSLOT-icoontje naast de URL en volgt u de onderstaande stappen: 

1. Klik op de knop Verbinding is beveiligd en vervolgens op de knop Certificaat is geldig.
2. Ga naar het detailsgedeelte en scroll naar beneden om CRL-distributiepunten (CDP).
3. U ziet een of meer URL's die verwijzen naar de locatie waar de CRL's zijn gepubliceerd.
4. Kopieer de URL in het veld 'Waarde' en plak deze in de zoekbalk.
5. De browser downloadt het CRL-bestand. U kunt het openen om de informatie op de intrekkingslijst te bekijken.

Risico's van een verlopen CRL

Beveiligingsrisico's: een ingetrokken certificaat accepteren 

Als een CRL verouderd of verlopen is, zijn de systemen die erop vertrouwen mogelijk niet op de hoogte van de recente intrekkingsupdates. Dit zou betekenen dat een gecompromitteerd of ongeldig certificaat geaccepteerd zou kunnen worden door de systemen die het vertrouwen, wat zou leiden tot een kwetsbaarheid die door hackers kan worden uitgebuit. 

Operationele risico's: service- en nalevingsproblemen 

Veel applicaties en servers zijn zo ingesteld dat ze altijd de CRL controleren voordat ze het certificaat accepteren. Als de CRL nu is verlopen, kunnen deze machines de certificaten automatisch afwijzen, wat leidt tot uitval en onderbrekingen. Wettelijke normen vereisen vaak het gebruik van een actuele CRL. Niet-naleving van de normen kan leiden tot financiële verliezen voor de organisatie. 

Vertrouwens- en inkomstenrisico's

Als een server de status van een digitaal certificaat niet betrouwbaar kan verifiëren, brengt dit het vertrouwen in digitale communicatie in gevaar en leidt dit tot omzetverlies voor de organisatie, omdat gebruikers en systemen niet langer volledig zeker kunnen zijn van de integriteit van certificaten. 

Risico's beperken met CertSecure Manager

CertSecure Manager aanbiedingen een PKI-gezondheid weergave om dergelijke fouten vooraf te detecteren en te monitoren. Hieronder volgt een gedetailleerde uitleg van hoe CertSecure Manager helpt bij het oplossen van deze complicaties: 

CertSecure voert een gedetailleerde controle uit van alle componenten van de certificeringsinstantie en toont alle CDP's en AIA's, samen met de resterende dagen voor de CRL. Als er een fout wordt gedetecteerd, waarschuwt de oplossing de beheerders automatisch over het probleem.

• Gedetailleerde controle: CertSecure controleert alle componenten van de certificeringsinstantie en biedt een centraal overzicht van de PKI-status.
• CDP, AIA-punten: Het identificeert de CDP- en Authority Information Access (AIA)-punten voor het lokaliseren van de CRL.
• Resterende levensduur van CRL: Het geeft de resterende levensduur van de CRL weer voordat deze verloopt. Dit helpt beheerders de lijst bij te werken en het risico te verkleinen dat ze afhankelijk worden van een verouderde CRL.
• Geautomatiseerde waarschuwingen: CertSecure biedt een geïntegreerd waarschuwingsmechanisme om beheerders te informeren over het verlopen van de geldigheidsduur. Ook biedt het incidentbeheer mogelijkheden bij fouten met betrekking tot CRL's.

Conclusie

Concluderend kan ik zeggen dat een CRL Houdt de digitale communicatie veilig door gecompromitteerde/ongeldige certificaten onmiddellijk in te trekken. Het is een effectieve oplossing om het vertrouwen en de integriteit van de algehele webcommunicatie te waarborgen. Een verlopen, offline of onjuist geconfigureerde CRL kan echter leiden tot serviceonderbrekingen en -uitval.  

Het gebruik van een CLM-oplossing zoals CertSecure helpt bij het centraal monitoren van digitale certificaten en CRL's binnen de organisatie. Dit zou verder helpen bij het voorkomen van uitval, het verminderen van downtime en het besparen op potentieel kostbare herstelmaatregelen.