Entry № 179
証明書失効リスト(CRL)
証明書失効リスト(CRL) とは何ですか?
証明書失効リスト(CRL)CA が定期的に署名・公開する、本来の有効期限前に失効させた証明書の一覧で、依存当事者が失効済み証明書の検出に用いる。
CRL は、秘密鍵の漏えい、所有者の変更、誤発行などの理由で信頼すべきでなくなった証明書のシリアル番号と失効日を列挙し、CA が署名した文書です。依存当事者(ブラウザや TLS クライアント)は証明書の CRLDistributionPoints 拡張で示された場所から CRL をダウンロードし、シリアル番号が含まれている証明書を拒否します。一度キャッシュすればオフラインでも利用できますが、サイズが大きくなりやすく、最新性に欠ける場合があるため、現代の運用では OCSP、OCSP ステープリング、短命証明書、CRLite のような圧縮形式が選ばれる傾向にあります。
● 例
- 01
CA が 24 時間ごとに crl.example/ca.crl を公開し、クライアントが失効リストを更新する。
- 02
VPN ゲートウェイが起動時に CA の CRL を読み込み、失効済みクライアント証明書を拒否する。
● よくある質問
証明書失効リスト(CRL) とは何ですか?
CA が定期的に署名・公開する、本来の有効期限前に失効させた証明書の一覧で、依存当事者が失効済み証明書の検出に用いる。 サイバーセキュリティの ネットワークセキュリティ カテゴリに属します。
証明書失効リスト(CRL) とはどういう意味ですか?
CA が定期的に署名・公開する、本来の有効期限前に失効させた証明書の一覧で、依存当事者が失効済み証明書の検出に用いる。
証明書失効リスト(CRL) からどのように防御しますか?
証明書失効リスト(CRL) に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
証明書失効リスト(CRL) の別名は何ですか?
一般的な別名: CRL, 失効リスト。