Cosa sono sospensione e revoca di un certificato digitale
In questo articolo vediamo cosa sono sospensione e revoca di un certificato digitale, in quali casi avvengono e cos’è la Certificate Revocation List.
La sospensione di un certificato digitale è un provvedimento che ne interrompe la validità prima della sua naturale scadenza, in maniera temporanea e reversibile.
Alla sospensione può seguire un provvedimento di revoca definitiva oppure un provvedimento di annullamento della sospensione e riattivazione del certificato.
La revoca di un certificato digitale, invece, è un provvedimento che ne annulla la validità in maniera totale e in via definitiva e irreversibile.
Chi può chiedere la sospensione e la revoca di un certificato digitale
La sospensione o la revoca di un certificato digitale viene eseguita dalla Certification Authority (CA) che lo ha emesso.
La richiesta di revoca o sospensione può essere fatta anche su richiesta del titolare o del terzo dal quale derivano i poteri del titolare.
Quando si ha la sospensione o revoca di un certificato digitale
Un certificato elettronico può essere revocato o sospeso in caso di:
› richiesta del titolare o del terzo da cui il titolare deriva i suoi poteri sul certificato› presenza di cause che limitano la capacità del titolare› presenza di abusi o falsificazioni› violazione delle regole tecniche previste dal Cad› smarrimento del dispositivo di firma› compromissione rilevata o semplicemente sospettata della chiave privata corrispondente alla chiave pubblica contenuta nel certificato› compromissione della segretezza della chiave o del suo codice di attivazione (PIN)› compromissione del suo utilizzo (perdita del PIN, guasto del dispositivo, ecc.)› cambiamento dei dati del titolare presenti nel certificato› cambiamento di una qualsiasi delle informazioni contenute nel certificato o delle condizioni iniziali di registrazione› termine del rapporto tra il titolare e il certificatore
CRL Certificate Revocation List, cos’è
Il certificato di firma sospeso o revocato finisce in una Certificate Revocation List (CRL) che è una lista che contiene l’elenco di tutti i certificati digitali revocati o sospesi prima della loro naturale data di scadenza. La CRL non contiene la lista dei certificati non più validi perché giunti alla loro naturale data di scadenza.
Generalmente la CRL è creata e gestita dalla CA (Certification Authority o Autorità di Certificazione) che ha emesso i certificati, o da un’autorità terza fidata, delegata dalla CA.
Una stessa Certification Authority può pubblicare più CRL, ciascuna con certificati raggruppati in base a uno specifico criterio. Ad esempio, oltre a una CRL con tutti i certificati emessi da quella CA, potremmo avere tante singole CRL quanti sono i motivi che hanno portato alla sospensione o alla revoca dei certificati.
La CRL è resa pubblica per consentire alle applicazioni di verifica firma di controllare la validità di tutti i certificati e, di conseguenza, delle relative firme che vengono apposte.
Proprio per questo, le firme digitali apposte dopo il provvedimento di sospensione o di revoca non sono valide, ma l’invalidità diventa effettiva solo dal momento in cui il certificato sospeso o revocato viene pubblicato nella CRL. Le firme apposte prima della pubblicazione restano, invece, valide.
Ogni CRL viene firmata digitalmente dalla CA che la pubblica, a garanzia della attendibilità dei dati che contiene.
Generalmente una CRL ha una validità di 24 ore, ma può durare anche meno. A dettare tempi così brevi è l’esigenza di tenere i dati più aggiornati possibile, a garanzia della sicurezza del sistema.
Durante le ore di validità di una CRL, apposite applicazioni consentono di verificare se uno specifico certificato è valido oppure se è in una condizione di sospensione o revoca.
Come riattivare un certificato sospeso
Un certificato sospeso può essere riattivato quando sono venute meno le cause da cui è dipesa la sospensione temporanea della sua validità.
Come nel caso della sospensione o della revoca, anche la riattivazione può essere eseguita direttamente dalla Certification Authority, ma può anche essere richiesta dal titolare del certificato o dal terzo da cui il titolare deriva i suoi poteri sul certificato.
