6. Preklic (Revocation)

Scenariji: 4
FFI funkcije: ~35
Status: Načrtovano

Ta kategorija zajema vse scenarije za preklic certifikatov. Ustvarjanje CRL, nastavitev OCSP strežnika in upravljanje Delta-CRL.

Scenariji

ID	Scenarij	Opis	Kompleksnost	Status
6.1	Ustvarjanje CRL	Generiranje seznama preklicanih certifikatov	Srednja	Načrtovano
6.2	OCSP strežnik	Online Certificate Status Protocol	Visoka	Načrtovano
6.3	Delta-CRL	Inkrementalne posodobitve CRL	Visoka	Načrtovano
6.4	Preklic certifikata	Preklic posameznega certifikata	Nizka	Načrtovano

Arhitektura preklica

flowchart TB subgraph CA["Certifikatna agencija"] REVOKE[Zahteva za preklic] DB[(Baza preklicov)] CRL_GEN[Generator CRL] OCSP_SIGN[OCSP podpisnik] end subgraph DIST["Distribucija"] CDP[CRL Distribution Point] OCSP_SRV[OCSP strežnik] end subgraph CLIENT["Odjemalec"] VAL[Validator] end REVOKE --> DB DB --> CRL_GEN --> CDP DB --> OCSP_SIGN --> OCSP_SRV VAL --> |HTTP GET| CDP VAL --> |OCSP zahteva| OCSP_SRV style DB fill:#e3f2fd style CDP fill:#e8f5e9 style OCSP_SRV fill:#fff3e0

Razlogi za preklic (RFC 5280)

Koda	Razlog	Opis
0	unspecified	Razlog ni naveden
1	keyCompromise	Zasebni ključ ogrožen
2	cACompromise	CA ogrožena
3	affiliationChanged	Organizacija spremenjena
4	superseded	Zamenjano z novim certifikatom
5	cessationOfOperation	Storitev ukinjena
6	certificateHold	Začasno blokirano

CRL proti OCSP

Vidik	CRL	OCSP
Posodabljanje	Periodično (ure/dnevi)	V realnem času
Velikost	Raste s preklici	Konstantna (~4 KB)
Brez povezave	Da	Ne, potreben strežnik
Zasebnost	Da, brez vidnih zahtev	Strežnik vidi zahteve
Standard	RFC 5280	RFC 6960

Panožne zahteve

Panoga	Metoda	Interval posodabljanja	Posebnosti
Energetika/SCADA	CRL	24-72h	Okolja brez povezave, ročna distribucija
Zdravstvo	OCSP	V realnem času	Zahteve gematik, QES
Avtomobilska	CRL + OCSP	1-6h	V2X zahteva hitro odzivanje
Standardni IT	OCSP Stapling	V realnem času	Optimizirano za zmogljivost

Hiter začetek kode

Ustvarjanje CRL

// Inicializacija CRL-Builder
var crlBuilder = ctx.CreateCrlBuilder(issuerCert, issuerKey);
 
// Dodajanje preklicanih certifikatov
crlBuilder.AddRevokedCertificate(
    serialNumber: revokedCert.SerialNumber,
    revocationDate: DateTimeOffset.UtcNow,
    reason: RevocationReason.KeyCompromise
);
 
// Generiranje CRL
var crl = crlBuilder.Build(
    thisUpdate: DateTimeOffset.UtcNow,
    nextUpdate: DateTimeOffset.UtcNow.AddDays(7),
    crlNumber: 42
);
 
File.WriteAllBytes("intermediate.crl", crl.ToDer());

Preklic certifikata

// Nalaganje certifikata za preklic
var certToRevoke = ctx.LoadCertificate("compromised.crt.pem");
 
// Vnos v bazo preklicov
ctx.RevokeCertificate(
    certificate: certToRevoke,
    reason: RevocationReason.KeyCompromise,
    invalidityDate: DateTimeOffset.UtcNow.AddHours(-2)  // Ogroženost pred 2 urama
);
 
// Generiranje in distribucija novega CRL
var newCrl = ctx.GenerateCrl(issuerCert, issuerKey);
await PublishCrl(newCrl, "http://crl.example.com/intermediate.crl");

Povezane kategorije

Kategorija	Povezava
1. PKI infrastruktura	CRL Distribution Points v konfiguraciji CA
5. Validacija	Preverjanje preklica pri validaciji
4. Upravljanje certifikatov	Ponovna izdaja ključa po preklicu

« ← 5. Validacija | ↑ Scenariji | 7. Šifriranje → »

Wolfgang van der Stille @ EMSR DATA d.o.o. - Post-Quantum Cryptography Professional

kategorie, widerruf, revocation, crl, ocsp