ネットワークセキュリティ
証明書失効リスト(CRL)
別称: CRL, 失効リスト
定義
CA が定期的に署名・公開する、本来の有効期限前に失効させた証明書の一覧で、依存当事者が失効済み証明書の検出に用いる。
CRL は、秘密鍵の漏えい、所有者の変更、誤発行などの理由で信頼すべきでなくなった証明書のシリアル番号と失効日を列挙し、CA が署名した文書です。依存当事者(ブラウザや TLS クライアント)は証明書の CRLDistributionPoints 拡張で示された場所から CRL をダウンロードし、シリアル番号が含まれている証明書を拒否します。一度キャッシュすればオフラインでも利用できますが、サイズが大きくなりやすく、最新性に欠ける場合があるため、現代の運用では OCSP、OCSP ステープリング、短命証明書、CRLite のような圧縮形式が選ばれる傾向にあります。
例
- CA が 24 時間ごとに crl.example/ca.crl を公開し、クライアントが失効リストを更新する。
- VPN ゲートウェイが起動時に CA の CRL を読み込み、失効済みクライアント証明書を拒否する。
関連用語
OCSP(オンライン証明書ステータスプロトコル)
クライアントが CA のレスポンダに対し、特定の X.509 証明書が有効・失効・不明のいずれであるかを HTTP 上でリアルタイムに問い合わせるプロトコル。
X.509 証明書
信頼された CA の署名によって公開鍵と身元を結びつける、標準化されたデジタル証明書の構造。
認証局(CA)
公開鍵をドメイン名や組織などの検証済みの身元と結びつけ、デジタル証明書を発行・署名する信頼された機関。
公開鍵基盤(PKI)
ポリシー・ソフトウェア・ハードウェア・信頼された機関の総体で、身元と公開鍵を結びつけるデジタル証明書を発行・配布・検証・失効させる。
TLS (Transport Layer Security)
TLS (Transport Layer Security) — definition coming soon.
デジタル署名
メッセージや文書の真正性・完全性・否認防止を証明する公開鍵暗号方式のメカニズム。