Welche Größe hat eine Sperrliste?

Je mehr Zertifikate gesperrt werden, umso größer wird somit die Sperrliste. Hieraus können Probleme bei der Verarbeitung resultieren. Früher waren es vor allem Kapazitätsprobleme bei der Übertragung einer Sperrliste, dies bereitet heute aber nur noch selten Probleme. Dennoch sollten machen beachten: Je größer eine Sperrliste ist, umso höher ist das Risiko, dass die Übertragung und Überprüfung der Sperrlisten länger dauert als der Maximalwert für die Sperrlisten-Prüfung. Überschreitet die gesamte Verarbeitungsdauer einer Sperrliste diesen Maximalwert, wird der Zugriff abgebrochen. Die Folge ist das der Sperrstatus des Zertifikates als nicht validiert eingestuft und für eine Kommunikation als ungültig eingestuft wird.
Daher stellt sich oft die Frage, wie groß Sperrlisten werden können. Um die ungefähre Größe einer Sperrliste zu berechnen, sind folgende Annahmen laut Microsoft sinnvoll. Während des Betriebes einer PKI werden in der Regel ca. 10 % der ausgestellten Zertifikate gesperrt.Jeder Eintrag in einer Sperrliste von einer Microsoft CA vergrößert diese beispielsweise bei Verwendung des Algorithmus SHA-1 um ca. 30 Byte. Somit ergibt sich folgende Berechnung für die Größe einer Sperrliste.
Somit ergibt sich eine erwartete Dateigröße der Sperrliste von:

Anzahl Zertifikate Anteil Sperrungen Anteil Sperrungen
100 10 1 kB
500 50 2 kB
1000 100 3 kB
5000 500 15 kB
10000 1000 29 kB
50000 5000 146 kB
100000 10000 293 kB

Bei anderen PKI Implementierungen kann die Größe leicht variieren, da die Länge der Seriennummer einen direkten Einfluss auf die Gesamtgröße hat. Bei einer Microsoft CA mit SHA-1 hat die Seriennummer des Zertifikates eine Länge von 20 Byte, diese wurde für das Rechenbeispiel als Grundlage genommen. Bei Verwendung von SHA-256 sind die Seriennummern 38-stellig und benötigten entsprechend jeweils 38 bit. hat die Seriennummern eine Länge von mit 38 Byte und pro gesperrten Zertifikat muss mit 48 Byte gerechnet werden. Andere Implementierungen verwenden dagegen kürzere Seriennummern und haben daher Sperrlisten mit einer geringeren Größe. Es ist aber zu beachten, dass es sich hierbei um eine Modellrechnung handelt und die tatsächliche Größe sich von der Annahme unterscheiden kann.