Thông thƣờng chứng chỉ sẽ hợp lệ trong khoảng thời gian có hiệu lực. Nhƣng trong một số trƣờng hợp chứng chỉ lại không hợp lệ trƣớc thời gian hết hạn .
Ví dụ nhƣ:
+ Khóa riêng của chủ thể bị xâm phạm
+ Thông tin chứa trong chứng chỉ bị thay đổi + Khóa riêng của CA cấp chứng chỉ bị xâm phạm
Do đó, cần phải có một cơ chế cho phép ngƣời sử dụng chứng chỉ kiểm tra đƣợc trạng thái thu hồi chứng chỉ. X.509 cho phép kiểm tra chứng chỉ trong các trƣờng hợp nhƣ :
+ Chứng chỉ không bị thu hồi. + Chứng chỉ đã bị CA cấp thu hồi.
Cơ chế thu hồi chứng chỉ là sử dụng danh sách thu hồi chứng chỉ (CRLs). X.509 đƣa ra sự phân biệt giữa ngày, thời gian chứng chỉ bị CA thu hồi và ngày, thời gian trạng thái thu hồi đƣợc công bố đầu tiê n. Ngày thu hồi thực sự đƣợc ghi cùng với đầu vào chứng chỉ trong CRL. Ngày thông báo thu hồi đƣợc xác định trong header của CRL khi nó đƣợc công bố. Bản thân chứng chỉ có thể chứa con trỏ trỏ đến nơi thông tin thu hồi đƣợc xác định vị trí. [5]
2.1.4. Chính sách của chứng chỉ chỉ
Những mở rộng liên quan đến chính sách của chứng chỉ đƣợc sử dụng trong khi thiết lập xác thực chéo giữa các miền PKI. Một chính sách chứng chỉ trong X.509 đƣợc định nghĩa là “tên của tập các qui tắc chỉ ra khả năng có thể sử dụng của chứng chỉ cho một tập thể đặc thù và một lớp ứng dụng với những yêu cầu bảo mật chung.
Số hóa bởi Trung tâm Học liệu – ĐHTN http://www.lrc-tnu.edu.vn
Chính sách có định danh duy nhất và định danh này đƣợc đăng ký để ngƣời cấp và ngƣời sử dụng chứng chỉ có thể nhận ra và tham chiếu đến. Một chứng chỉ có thể đƣợc cấp theo nhiều chính sách. Một số có thể là thủ tục và mô tả mức đảm bảo gắn với việc tạo và quản lý chứng chỉ. Những chính sách khác có thể là kỹ thuật và mô tả mức đảm bảo gắn với an toàn của hệ thống đƣợc sử dụng để tạo chứng chỉ hay nơi lƣu trữ khóa.
Chính sách chứng chỉ - Certificate Policies (CP) đƣợc chứa trong trƣờng mở rộng của chứng chỉ X.509. CP đặc biệt quan trọng khi đƣa ra quyết định để xác nhận chéo hai PKI khác nhau.