
I certificati digitali costituiscono la spina dorsale delle interazioni online sicure, verificando le identità e garantendo una comunicazione crittografata. Tuttavia, quando questi certificati vengono compromessi o utilizzati in modo improprio, devono essere prontamente
In questa guida scopriremo cosa sono le CRL, come funzionano e perché sono fondamentali per la sicurezza del web.
Indice dei contenuti
- Cos’è una lista di revoca dei certificati (CRL)?
- Come funzionano le CRL?
- Perché i certificati vengono revocati?
- CRL e alternative: OCSP e Log di trasparenza dei certificati

Cos’è una lista di revoca dei certificati (CRL)?
Una Certificate Revocation List (CRL) è un file firmato digitalmente creato dalle Autorità di Certificazione (CA) che elenca i certificati digitali revocati. Questi certificati vengono revocati prima della data di scadenza prevista per motivi quali violazioni della sicurezza, compromissione delle chiavi o modifiche amministrative. Le CRL sono fondamentali nell’infrastruttura a chiave pubblica (PKI) per garantire una comunicazione sicura impedendo l’uso di certificati compromessi.
Definita dallo standard X.509 e dalla RFC 5280, una CRL contiene dettagli critici come i numeri di serie dei certificati non validi, i timestamp di revoca, la data di revoca e, in alcuni casi, i motivi specifici della revoca. Questo meccanismo garantisce che i certificati revocati vengano segnalati durante il processo di autenticazione.
Come funzionano le CRL?
Le liste di revoca dei certificati funzionano come un sistema di verifica della fiducia all’interno dell’infrastruttura a chiave pubblica (PKI). Quando un certificato digitale viene revocato, i suoi dettagli vengono aggiunti alla CRL gestita dall’Autorità di Certificazione (CA) emittente. Questo elenco viene aggiornato periodicamente e distribuito attraverso i CRL Distribution Point (CDP) specificati, ai quali si può accedere tramite gli URL incorporati nel certificato.
Il processo CRL
Quando un browser o un’applicazione incontra un certificato, recupera la CRL associata dal CDP. L’elenco recuperato viene scansionato alla ricerca del numero di serie del certificato per verificarne lo stato di revoca. Se viene trovata una corrispondenza, il certificato viene contrassegnato come revocato e l’utente viene avvisato del rischio potenziale, impedendo l’accettazione impropria del certificato. Questo processo aiuta a bloccare le connessioni insicure prima che si verifichino.
Le CRL sono in genere firmate dalla CA che le ha emesse per garantirne l’autenticità ed evitare manomissioni. Includono un timestamp e dettagli sul prossimo aggiornamento previsto. Gli aggiornamenti frequenti sono necessari per mantenere l’affidabilità, ma possono comportare problemi di prestazioni, in particolare per le CRL di grandi dimensioni.
Le sfide della funzionalità CRL
Le CRL non sono prive di limiti. La loro dipendenza da aggiornamenti periodici crea una finestra di latenza durante la quale un certificato revocato potrebbe ancora essere accettato. Inoltre, le dimensioni delle CRL possono avere un impatto sull’efficienza: elenchi più grandi richiedono più risorse per essere analizzati, con conseguenti risposte più lente, soprattutto per i dispositivi con una potenza di elaborazione limitata. La memorizzazione nella cache delle CRL a livello locale attenua alcuni ritardi, ma introduce ulteriori rischi in caso di mancato aggiornamento.
Perché i certificati vengono revocati?
I certificati digitali vengono revocati quando la loro integrità o validità è compromessa, assicurando che non possano essere usati impropriamente per violare sistemi sicuri. Questa misura proattiva delle Autorità di Certificazione (CA) impedisce ai malintenzionati di sfruttare i certificati revocati per aggirare i protocolli di sicurezza o ingannare gli utenti.
I certificati possono essere revocati per vari motivi, tra cui:
- Compromissione della chiave: se la chiave privata associata a un certificato è esposta o si sospetta che sia stata compromessa, la revoca è necessaria per ridurre l’accesso non autorizzato.
- Compromissione della CA: quando la sicurezza della CA emittente viene violata, tutti i certificati da essa emessi possono perdere l’affidabilità.
- Certificati emessi in modo errato: Gli errori durante l’emissione, come la convalida di un dominio non corretto, richiedono la revoca e la riemissione del certificato.
- Cambi di proprietà: Le transizioni nella proprietà del dominio o nell’affiliazione organizzativa spesso richiedono la revoca e la sostituzione dei certificati.
- Cessazione delle operazioni: Quando il titolare di un certificato cessa l’attività o cessa il controllo sul dominio, la revoca assicura che il certificato non venga utilizzato in modo improprio.

I certificati compromessi rappresentano un rischio significativo per la sicurezza informatica. Un certificato revocato che non viene segnalato in tempo può favorire attacchi man-in-the-middlefurto di identità, violazione dei dati e distribuzione di malware. Ad esempio, le revoche su larga scala da parte di CA come Apple e Google sottolineano la criticità di affrontare le vulnerabilità in tempi rapidi.
CRL e alternative: OCSP e Log di trasparenza dei certificati
Le liste di revoca dei certificati sono molto utilizzate per gestire i certificati revocati, ma non sono l’unico metodo. Alternative come il Protocollo di stato dei certificati online (OCSP) e Log di trasparenza dei certificati (CT) offrono approcci diversi per risolvere i problemi di fiducia dei certificati.
CRL vs OCSP
- Le CRL si basano su elenchi aggiornati periodicamente che i browser o le applicazioni scaricano e analizzano. Sebbene sia efficace, questo approccio offline può introdurre dei ritardi, soprattutto nel caso di elenchi di grandi dimensioni.
- L‘OCSP fornisce una convalida in tempo reale consentendo ai browser di interrogare direttamente la CA sullo stato di uno specifico certificato. Invece di scaricare un intero elenco, il browser riceve una semplice risposta: “buono”, “revocato” o “sconosciuto”.
- La pinzatura OCSPUn miglioramento che sposta l’onere dal client al server. Il server memorizza la risposta OCSP e la “aggancia” al certificato durante l’handshake TLS, migliorando le prestazioni e la privacy.
CRL vs. registri CT
- Le CRL si concentrano esclusivamente sui certificati revocati e non si occupano dei certificati scaduti, garantendo che le credenziali compromesse non possano essere attendibili.
- I registri di trasparenza dei certificati, invece, registrano tutti i certificati emessi. Questi registri di sola appendice migliorano la trasparenza, mostrando i certificati emessi in modo improprio o non conformi, ma non si occupano dello stato di revoca.
Scegliere il giusto approccio
Le CRL rimangono efficaci per la gestione in batch dei certificati revocati, ma possono avere problemi di scalabilità e di requisiti in tempo reale. Il controllo della revoca dei certificati tramite OCSP e la sua variante di pinzatura offre controlli più rapidi e dinamici, risolvendo alcuni dei limiti delle CRL. Nel frattempo, i log CT fungono da strumento complementare, garantendo la supervisione dell’emissione dei certificati ma non della loro revoca.
Per una sicurezza completa, le aziende spesso combinano questi metodi. Le CRL sono ideali per gli ambienti che richiedono aggiornamenti massicci, mentre l’OCSP fornisce controlli di stato istantanei. I CT Log aggiungono un ulteriore livello di trasparenza, garantendo la fiducia negli ecosistemi digitali.
Mantieni il tuo sito web sicuro con soluzioni affidabili
Le liste di revoca dei certificati svolgono un ruolo essenziale nella salvaguardia delle comunicazioni digitali, garantendo che i certificati revocati non possano essere utilizzati per compromettere la sicurezza.
Per proteggere il tuo sito web con certificati SSL affidabili provenienti da autorità di certificazione affidabili, rivolgiti a SSL Dragon. Esplora la nostra vasta gamma di certificati SSL e lascia che ti aiutiamo a garantire una presenza digitale sicura e affidabile.
Risparmia il 10% sui certificati SSL ordinando oggi stesso da SSL Dragon!
Emissione rapida, crittografia avanzata, affidabilità del browser al 99,99%, assistenza dedicata e garanzia di rimborso entro 25 giorni. Codice coupon: SAVE10






