CRL(Certificate Revocation List:証明書失効リスト)

導入

CRL(Certificate Revocation List:証明書失効リスト)は、証明書の有効期間中に、証明書記載内容の変更、秘密鍵の紛失等の事由により失効された証明書情報が記載されたリストのことです。












とは

CRL (Certificate Revocation List) は、証明書の失効情報(シリアル番号と失効日)が記載されている認証局 (CA) 毎に作成・更新されるリストです。

同認証局 (CA) から発行された有効期間が満了していないすべての証明書の失効情報が記載されています。

CRL に対応した Web ブラウザからサーバ証明書が設定されている Web サイトへ接続した際、サーバー証明書の情報を受け取った Web ブラウザは証明書の「CRL 配布ポイント(CRL Distribution PointCRL)」という項目で指定された URL へ自動でアクセスして、CRL をダウンロードします。

Web ブラウザは取得した CRL に登録されているすべてのシリアル番号と Web サーバーから送られてきた証明書のシリアル番号を照合して、一致した場合に Web ブラウザが「証明書が失効されている」と判別してセキュリティ警告やエラーメッセージを表示します。


CRLとは有効期限よりも前に失効させたデジタル証明書の一覧です。有効期限よりも前に失効させる
 というのは、例えば証明書の誤発行や証明書の秘密鍵紛失で悪用されるのを回避するための処置です。
 認証局では、そのような証明書をCRLに登録して管理します。CRLは日本語では証明書失効リストと
 言いますが、正確にはPKIにおける公開鍵証明書のリスト( 証明書のシリアル番号のリスト )のこと。


証明書失効リスト(しょうめいしょしっこうリスト、: Certificate Revocation List, CRL)は、公開鍵基盤 (PKI) における失効した(信頼できない)公開鍵証明書のリスト(正確には、証明書のシリアル番号のリスト)である。


CRL(Certificate Revocation List)とは、失効したデジタル証明書のリストのことです。CRLは、認証局CA)あるいは検証局(VA)が管理する失効したデジタル証明書の一覧です。誤発行などの理由で有効期間内に失効させられたデジタル証明書の一覧で、デジタル証明書の受取人は証明書とCRLを照合することにより、証明書が現在も有効であるかどうか確認できることになります。

CRLは認証局(CA)から定期的に最新のものが配布されています。CRLの仕様はデジタル証明書の仕様を定めたITU-T X.509で標準化されています。


CRLとは無効になった証明書のシリアル番号の一覧に、認証局が電子署名をしたデータです。
 一つのエントリは、認証局が証明書ごとに割り振ったシリアル番号とそのシリアル番号の証明書が無効になった日付の組み合わせによりなります。


CA が失効された証明書のリストを定期的に公開する方式です。この失効された証明書のリストを、証明書失効リスト (CRL: Certificate Revocation List) といいます。証明書利用者は定期的に CRL を取得することによって、証明書の有効性を検証できます。


CRLには失効した証明書のシリアル番号と失効日が記載されています。
認証局(CA)は、失効した証明書のリストCRL(Certificate Revocation Lists)を公開し、このリストのURLを、あらかじめサーバー証明書に記載しておきます。
サーバーが提示した証明書を受け取ったブラウザ等のクライアントは、その証明書がCRLに掲載されていないかを検証します。

サーバーが権威ある認証局によって発行された証明書を提示し、それが有効期限内のものであっても、その証明書だけでは証明書の有効性は確認できません。
証明書の発行後にその証明書が失効している可能性があるためです。
証明書の失効は、秘密鍵が漏洩した場合や、間違った手続きのもとに発行された証明書であることが判明した場合などに行われます。


認証局が管理する、失効済み電子証明書の一覧。
CRLの仕様は、電子証明書と同様にX.509の規格で決められています。また、CRLにはリストを発行した認証局が電子署名を行っているので、電子証明書と同じく偽造はほぼ不可能といえます。





H2候補

まとめ

参考

  • https://www.cybertrust.co.jp/sureserver/support/glossary/crl.html
  • https://www.infraexpert.com/study/sslserver13.html
  • https://www.ipa.go.jp/security/fy12/contents/smime/email_sec05.html
  • https://ja.wikipedia.org/wiki/%E8%A8%BC%E6%98%8E%E6%9B%B8%E5%A4%B1%E5%8A%B9%E3%83%AA%E3%82%B9%E3%83%88
  • https://www.secomtrust.net/secword/crl.html
  • https://www.ipa.go.jp/security/fy12/contents/smime/email_sec05.html
  • https://www.ipa.go.jp/security/pki/041.html
  • https://rms.ne.jp/sslserver/basis/revoked_ssl_certificates_ocsp_crl/
  • https://jp.globalsign.com/support/faq/601.html
  • https://jprs.jp/glossary/index.php?ID=0241

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です