PR
PR
CRLとは
CRLとは、有効期限内であっても無効と判断されたデジタル証明書を列挙した一覧です。失効した証明書のシリアル番号と、いつ失効したかの時刻が含まれます。証明書の見た目だけでは有効か判断できないため、信頼できる失効情報の公開が欠かせません。
デジタル証明書には有効期間がありますが、秘密鍵の漏えい・紛失、発行ミス、規則違反、証明書が不要になったといった事情で、期限前に使えなくする必要が生じます。たとえばWebサイトのTLS証明書が流出した場合などが該当し、悪用を避けるため速やかな失効が求められます。
CRLは証明書を発行した認証局が管理・公開し、定期的に更新されます。失効には恒久的な無効化と、調査のための一時停止があり、後者は安全性が確認されるとCRLから削除されることがあります。これにより、状況に応じた柔軟な運用が可能になります。
利用者やソフトウェアは、認証局が配布する最新のCRLを取得し、手元の証明書のシリアル番号と照合することで有効性を確認します。これにより、形式上は正しく見えても実は危険な証明書を避けられます。CRLは、証明書の有効期限だけに頼らず不正利用のリスクを減らし、公開鍵基盤の信頼を保つ役割を担います。
