Passenden Sperrgrund auswählen

Sperrlisten enthalten pro gesperrtem Zertifikat die Seriennummer des Zertifikates, den Zeitpunkt der Sperrung und einen numerischen Wert für den Sperrgrund. Der Sperrgrund kann im Rahmen der Sperrung eines Zertifikates angegeben werden, wenn bei der Sperrung kein Sperrgrund angegeben wird, wird der Sperrgrund 0 mit der Bedeutung unused eingetragen. Technisch ist die Verwendung eines Sperrgrundes nicht wichtig, da ein Zertifikat mit Eintrag auf der Sperrliste ungültig wird und nicht mehr verwendet werden kann.
Dennoch ist es sinnvoll Sperrgründe anzugeben, da zwischen einer Sperrung bei Austausch eines Zertifikates aufgrund der Änderung des Namens des Zertifikatnehmers und einer Sperrung nach Kompromittierung des privaten Schlüssels besteht. Die Pflege der Sperrgründe sagt u.a. viel über die Qualität eines Zertifizierungsstelle aus. Werden keine Sperrgründe angegeben, besteht berechtigter Zweifel an der Qualität der Prozesse der Zertifizierungsstelle. Problematisch ist auch, wenn Zertifikate nach Kompromittierung der CA gesperrt werden müssen. In diesem Fall stellt sich die Frage, ob entsprechende Zertifikate sicher verwendet werden sollen.

Beispiel der Darstellung eines Sperrgrundes in einer Sperrliste:

Umso wichtiger ist, es den richtigen Sperrgrund auszuwählen. Die meisten CAs verwenden Sperrlisten des Formates V2, die beispielsweise im RFC 2459 definierten Sperrgründe:

ReasonFlags ::= BIT STRING {
unused (0),
keyCompromise (1),
cACompromise (2),
affiliationChanged (3),
superseded (4),
cessationOfOperation (5),
certificateHold (6) }

Bereits RFC 3280 definiert ebenso wie der aktuelle RFC 5280 weitere Sperrgründe, die aber von Zertifizierungsstellen selten verwendet werden. Ein Sperrgrund 7 ist in den RFCs nicht definiert und wird entsprechend auch nicht verwendet.

removeFromCRL (8),
privilegeWithdrawn (9),
aACompromise (10)

Im Folgenden finden sich die deutschen Übersetzungen mit einer Beschreibung der Situationen in denen dieser Sperrgrund verwendet werden sollte.

  • Sperrgrund 1 – Schlüsselkompromiss
    Dieser Sperrgrund wird verwendet, wenn die alleinige Kontrolle über den privaten Schlüssel verloren gegangen ist und jemand Zugriff auf den privaten Schlüssel erlangen konnte. Der Schlüssel gilt dann als kompromittiert und sollte nicht mehr verwendet werden. Dieser Sperrgrund bezieht sich nur auf den privaten Schlüssel eines Endbenutzer-Zertifikates.
  • Sperrgrund 2 – Stellenkompromittierung
    Im Falles des Eintretens des Sperrgrundes 2 ist der private Schlüssel der ausgebenden CA kompromittiert worden und die Sicherheit der gesamten PKI Infrastruktur ist eingeschränkt und es ist notwendig alle Zertifikate innerhalb einer Hierarchie außer Betrieb zu nehmen.
  • Sperrgrund 3 – Zuordnung geändert
    Dieser Sperrgrund wird verwendet, wenn sich beispielsweise Namen ändern und der im Zertifikat enthaltene Name nicht mehr gültig ist.
  • Sperrgrund 4 – Abgelöst
    Ein Zertifikat wurde durch ein anderes Zertifikat mit gleichem Nutzungszweck ersetzt.
  • Sperrgrund 5 – Vorgangsende
    Dieser Grund wird beispielsweise verwendet, wenn der Betrieb einer PKI eingestellt wird und alle von dieser CA ausgestellten Zertifikate gesperrt werden.
  • Sperrgrund 6 – Zertifikat blockiert
    Dieser Sperrgrund ermöglicht eine temporäre Sperrung von Zertifikaten, beispielsweise wenn ein Zertifikat für eine bestimmten Zeitraum nicht verwendet werden soll, es später aber wieder zum Einsatz kommen kann. Zu der Verwendung dieses Sperrgrundes existieren unterschiedliche Philosophien, teilweise wird aus Gründen der fehlenden Eindeutigkeit von seiner Verwendung abgeraten. Gegner der Verwendung dieses Sperrgrundes argumentieren, dass die Eindeutigkeit von Zertifikaten bei einer temporären Sperrung verloren ginge und das Zertifikat seinen Nachweis-Charakter verlöre. Dies ist insbesondere bei Zertifikaten für die digitale Signatur von Dokumenten problematisch, da eine Sperrprüfung nach Aufheben der Blockierung ein anderes Ergebnis liefern würde, als bei aktiver Blockierung.

Die folgenden Gründe werden selten verwendet:

  • Sperrgrund 8 – Entfernen von der Sperrliste
    Wird verwendet um anzuzeigen, dass ein Zertifikat von der Sperrliste genommen wird und wieder verwendet werden kann.
  • Sperrgrund 9 –  Berechtigung wird zurückgezogen
    Die Zertifizierungsstelle entzieht dem Zertifikatsnehmer die durch das Zertifikat vergebene Berechtigung, beispielsweise eine Namenszuordnung.
  • Sperrgrund 10 – Kompromittierung einer Attribut Authority
    Eine Attribut Authority wird u.a. im Identitätsmanagement verwendet, um Echtheit von Attributen von Identitäten oder Berechtigungen zu bestätigen. Bei Verwendung dieses Sperrgrundes ist der private Schlüssel der ausgebenden AA kompromittiert.

Wird kein Sperrgrund angegeben in die Sperrliste der Wert 0 eingetragen, der für den Wert nicht spezifiziert bzw. nicht angegeben steht.