証明書失効リスト(CRL)は、認証局(CA)が発行したデジタル証明書のうち、有効期限内であるにもかかわらず失効したもののリストです。秘密鍵の紛失、証明書情報の間違い、組織の状況変化などの理由で証明書が無効になった際に、そのシリアル番号と失効理由が記録されます。クライアントはこれを確認して、失効した証明書を使用しないようにします。
CRLの主な特徴
- 内容:失効した証明書のシリアル番号、失効日、失効理由などが記載されています。
- 発行と更新:認証局(CA)が作成し、定期的に更新・公開します。
- 役割:ネットワーク利用者が、有効期限が切れていない証明書であっても信頼できるものかを確認するためのリストです。
- 利用方法:
- Webブラウザなどのクライアントが、サーバーから受け取った証明書を検証する際に、証明書に記載された「CRL配布ポイント」のURLにアクセスしてCRLをダウンロードします。
- ダウンロードしたCRLと、受け取った証明書のシリアル番号を照合し、一致すれば「失効している」と判断します。
CRLが使われる理由
- 秘密鍵の漏洩・紛失:秘密鍵が漏洩した場合、その証明書は不正利用される危険があるため失効されます。
- 証明書情報の誤り:発行後に証明書に記載された情報(組織名、ドメイン名など)に誤りが見つかった場合、信頼性が損なわれるため失効し、正しい証明書が再発行されます。
- その他の状況変化:証明書の所有者の状況が変化した場合などです。
コメント