Beställning och utförande av spärr

En spärr inom SITHS kan utföras enligt följande matris

Realisering av spärr

När en spärr har begärts av respektive Utförare kan det beroende på metod för kontroll ta en viss tid innan ett system kan få uppdaterad information om detta och använda den för att neka en användare att logga in.

OCSP

Är en metod där ett system kontrollerar ett certifikat åt gången

För denna metod realiseras spärren I princip omedelbart

Varje OCSP-svar får en tidsstämpel som säger hur länge svaret får användas av förlitande part. För SITHS gäller:

• notBefore → Tidpunkt då frågan ställs

• notAfter → 48 h framåt från notBefore

CRL

Är en metod där ett system kan hämta en lista över samtliga spärrade certifikat per certifikatsutfärdare

För denna metod finns en ledtid på upp till 65 minuter. En ny spärrlista ges ut av CA var 60:e minut, samt att det finns en cache på 5 minuter innan ny hämtas till den server (CDP) som är avlämningspunkt mot förlitande part.

Varje CRL får en tidsstämpel som säger hur länge den får användas av en förlitande part, för SITHS gäller:

Spärrlistor för certifikat till slutanvändare och funktionscertifikat:

• lastUpdate → Tidpunkten då CRL skapas av CA

• nextUpdate → 72h från lastUpdate

Spärrlistor som utfärdas av Root CA för utfärdande CAs:

• lastUpdate → Tidpunkten då CRL skapas manuellt då rooten är offline

• nextUpdate → ~12 månader