In questo articolo vediamo cosa sono sospensione e revoca di un certificato digitale, in quali casi avvengono e cos’è la Certificate Revocation List.
Cosa sono sospensione e revoca di un certificato digitale
La sospensione di un certificato digitale è un provvedimento che ne interrompe la validità prima della sua naturale scadenza, in maniera temporanea e reversibile.
Alla sospensione può seguire un provvedimento di revoca definitiva oppure un provvedimento di annullamento della sospensione e riattivazione del certificato.
La revoca di un certificato digitale, invece, è un provvedimento che ne annulla la validità in maniera totale e in via definitiva e irreversibile.
Chi può chiedere la sospensione e la revoca di un certificato digitale
La sospensione o la revoca di un certificato digitale viene eseguita dalla Certification Authority (CA) che lo ha emesso.
La richiesta di revoca o sospensione può essere fatta anche su richiesta del titolare o del terzo dal quale derivano i poteri del titolare.
Quando si ha la sospensione o revoca di un certificato digitale
Un certificato elettronico può essere revocato o sospeso in caso di:
› richiesta del titolare o del terzo da cui il titolare deriva i suoi poteri sul certificato
› presenza di cause che limitano la capacità del titolare
› presenza di abusi o falsificazioni
› violazione delle regole tecniche previste dal Cad
› smarrimento del dispositivo di firma
› compromissione rilevata o semplicemente sospettata della chiave privata corrispondente alla chiave pubblica contenuta nel certificato
› compromissione della segretezza della chiave o del suo codice di attivazione (PIN)
› compromissione del suo utilizzo (perdita del PIN, guasto del dispositivo, ecc.)
› cambiamento dei dati del titolare presenti nel certificato
› cambiamento di una qualsiasi delle informazioni contenute nel certificato o delle condizioni iniziali di registrazione
› termine del rapporto tra il titolare e il certificatore
CRL Certificate Revocation List, cos’è
Il certificato di firma sospeso o revocato finisce in una Certificate Revocation List (CRL) che è una lista che contiene l’elenco di tutti i certificati digitali revocati o sospesi prima della loro naturale data di scadenza. La CRL non contiene la lista dei certificati non più validi perché giunti alla loro naturale data di scadenza.
Generalmente la CRL è creata e gestita dalla CA (Certification Authority o Autorità di Certificazione) che ha emesso i certificati, o da un’autorità terza fidata, delegata dalla CA.
Una stessa Certification Authority può pubblicare più CRL, ciascuna con certificati raggruppati in base a uno specifico criterio. Ad esempio, oltre a una CRL con tutti i certificati emessi da quella CA, potremmo avere tante singole CRL quanti sono i motivi che hanno portato alla sospensione o alla revoca dei certificati.
La CRL è resa pubblica per consentire alle applicazioni di verifica firma di controllare la validità di tutti i certificati e, di conseguenza, delle relative firme che vengono apposte.
Proprio per questo, le firme digitali apposte dopo il provvedimento di sospensione o di revoca non sono valide, ma l’invalidità diventa effettiva solo dal momento in cui il certificato sospeso o revocato viene pubblicato nella CRL. Le firme apposte prima della pubblicazione restano, invece, valide.
Ogni CRL viene firmata digitalmente dalla CA che la pubblica, a garanzia della attendibilità dei dati che contiene.
Generalmente una CRL ha una validità di 24 ore, ma può durare anche meno. A dettare tempi così brevi è l’esigenza di tenere i dati più aggiornati possibile, a garanzia della sicurezza del sistema.
Durante le ore di validità di una CRL, apposite applicazioni consentono di verificare se uno specifico certificato è valido oppure se è in una condizione di sospensione o revoca.
Come riattivare un certificato sospeso
Un certificato sospeso può essere riattivato quando sono venute meno le cause da cui è dipesa la sospensione temporanea della sua validità.
Come nel caso della sospensione o della revoca, anche la riattivazione può essere eseguita direttamente dalla Certification Authority, ma può anche essere richiesta dal titolare del certificato o dal terzo da cui il titolare deriva i suoi poteri sul certificato.
