CRL es el acrónimo de "Certificate Revocation List", que significa
"lista de revocación de certificados". Una CRL es una lista de
certificados que ya no son válidos y en los que no debe confiar ningún
sistema de usuario.
Cuando la ECP - ADSIB emite un certificado digital, lo hace con un
periodo máximo de validez. El objetivo de este periodo de caducidad es
obligar a la renovación del certificado para adaptarlo a los cambios
tecnológicos. Así se disminuye el riesgo de que el certificado quede
comprometido por un avance tecnológico. La fecha de caducidad viene
indicada en el propio certificado digital.
Sin embargo, existen otras situaciones que pueden invalidar el
certificado digital aún cuando no ha caducado, de manera inesperada:
-
El usuario titular del certificado cree que su clave privada ha sido
robada.
- Desaparece la condición por la que el certificado fue expedido.
-
El certificado contiene información errónea o información que ha
cambiado.
- Una orden judicial.
En éstos casos, es necesario realizar la solicitud de REVOCACIÓN del
respectivo certificado.
Por tanto, debe existir algún mecanismo para comprobar la validez de un
certificado antes de su caducidad. Las CRL son uno de estos mecanismos.
Una Lista de Revocación de Certificados (CRL, Certificate Revocation
List) es un documento electrónico que contiene el siguiente formato
- Versión (versión): El valor del campo es 1 (corresponde
a la versión 2 del estándar)
- Algoritmo de firma (signatureAlgorithm): Identificador
de Objeto (OID) del algoritmo utilizado por la Entidad Certificadora Pública
para firmar la Lista de Certificados Revocados
- Nombre del Emisor (Issuer):
- CN ="Entidad Certificadora Pública ADSIB";
-
O = "Agencia para el Desarrollo de la Sociedad de la Información
en Bolivia";
- C = "BO".
- Día y Hora de Vigencia (This Update): Fecha de emisión
de la CRL (YYMMDDHHMMSSZ,formato UTC Time)
- Próxima actualización (Next Update): Fecha límite de emisión
de la próxima CRL (YYMMDDHHMMSSZ, formato UTC Time)
- Certificados Revocados (Revoked Certificates): Contiene
la lista de certificados revocados, identificados mediante su número de
serie, la fecha de revocación y una serie de extensiones específicas.
Las extensiones de la Lista de Certificados Revocados serán, como
mínimo, las siguientes:
- Identificador de la Clave del suscriptor (subjectKeyIdentifier): Función Hash (SHA1) del atributo subjectPublicKey (clave pública correspondiente
a la clave privada usada para firmar la Lista de Certificados Revocados)
- Número de Lista de Certificados Revocados (CRL Number): Número entero de secuencia incremental para una CRL
-
Extensiones de un elemento de la Lista de Certificados Revocados:
Código de motivo (Reason code): indica la razón de revocación
de un elemento de la CRL
