Je mehr Zertifikate gesperrt werden, umso größer wird somit die Sperrliste. Hieraus können Probleme bei der Verarbeitung resultieren. Früher waren es vor allem Kapazitätsprobleme bei der Übertragung einer Sperrliste, dies bereitet heute aber nur noch selten Probleme. Dennoch sollten machen beachten: Je größer eine Sperrliste ist, umso höher ist das Risiko, dass die Übertragung und Überprüfung der Sperrlisten länger dauert als der Maximalwert für die Sperrlisten-Prüfung. Überschreitet die gesamte Verarbeitungsdauer einer Sperrliste diesen Maximalwert, wird der Zugriff abgebrochen. Die Folge ist das der Sperrstatus des Zertifikates als nicht validiert eingestuft und für eine Kommunikation als ungültig eingestuft wird.
Daher stellt sich oft die Frage, wie groß Sperrlisten werden können. Um die ungefähre Größe einer Sperrliste zu berechnen, sind folgende Annahmen laut Microsoft sinnvoll. Während des Betriebes einer PKI werden in der Regel ca. 10 % der ausgestellten Zertifikate gesperrt.Jeder Eintrag in einer Sperrliste von einer Microsoft CA vergrößert diese beispielsweise bei Verwendung des Algorithmus SHA-1 um ca. 30 Byte. Somit ergibt sich folgende Berechnung für die Größe einer Sperrliste.
Somit ergibt sich eine erwartete Dateigröße der Sperrliste von:
Anzahl Zertifikate | Anteil Sperrungen | Anteil Sperrungen |
---|---|---|
100 | 10 | 1 kB |
500 | 50 | 2 kB |
1000 | 100 | 3 kB |
5000 | 500 | 15 kB |
10000 | 1000 | 29 kB |
50000 | 5000 | 146 kB |
100000 | 10000 | 293 kB |
Bei anderen PKI Implementierungen kann die Größe leicht variieren, da die Länge der Seriennummer einen direkten Einfluss auf die Gesamtgröße hat. Bei einer Microsoft CA mit SHA-1 hat die Seriennummer des Zertifikates eine Länge von 20 Byte, diese wurde für das Rechenbeispiel als Grundlage genommen. Bei Verwendung von SHA-256 sind die Seriennummern 38-stellig und benötigten entsprechend jeweils 38 bit. hat die Seriennummern eine Länge von mit 38 Byte und pro gesperrten Zertifikat muss mit 48 Byte gerechnet werden. Andere Implementierungen verwenden dagegen kürzere Seriennummern und haben daher Sperrlisten mit einer geringeren Größe. Es ist aber zu beachten, dass es sich hierbei um eine Modellrechnung handelt und die tatsächliche Größe sich von der Annahme unterscheiden kann.