証明書失効リストとは何ですか?
証明書失効リスト(CRL)は、国際電気通信連合(ITU)X.509セキュリティ標準のコンポーネントです。 X.509標準によれば、認証局(CA)はCRLを使用して、発行済みで期限が切れていないデジタルセキュリティ証明書を保留するか、明示的に取り消すことができます。 その後、CRLはさまざまなコンピュータープログラムによって配布および使用され、ソースの識別に使用されるセキュリティ証明書の有効性を確認します。
CAによるセキュリティ証明書の生成は、公開キー基盤(PKI)と呼ばれるものに該当します。 PKIを介して、セキュリティキーペアの公開キーによってユーザーを識別できます。ユーザーの秘密キーはペアの残りの半分です。 次に、ユーザーはCAに連絡し、自分の公開キーをIDとして使用して、セキュリティ証明書を要求します。 ユーザーの実際のIDを検証する何らかの手段を講じた後、CAはユーザーの公開キーにバインドされた証明書を発行できます。 この方法により、CAは信頼できる第三者として機能し、証明書を発行されたユーザーの身元を保証します。
デジタルセキュリティ証明書には通常、1年または2年の寿命が与えられます。 証明書の有効期限が切れた後、ユーザーは自分のIDを再検証するか、新しい証明書を完全に要求することにより、既存の証明書を更新する必要があります。 証明書の有効期限は証明書自体に含まれているため、コンピューターソフトウェアは期限切れの証明書をいつ受け取らないかを認識します。 ただし、有効期限が切れる前に証明書の失効が必要になる場合があります。 これらのインスタンスの場合、CAは、失効していないが何らかの理由で信頼できない証明書をリストする証明書失効リストを維持する必要があります。
証明書失効リストには、証明書を失効させる多くの考えられる理由が含まれています。 最も一般的なのは、証明書の所有者の秘密キーが安全ではなくなったことです。この時点で、証明書は有効期限までリストに残ります。 この場合、ユーザーは新しいキーペアを生成し、まったく新しい証明書を要求する必要があります。
もちろん、証明書がCRLに表示される他の理由があります。 証明書は、別の証明書に取って代わられた場合、所有者に関する証明書に含まれる情報に何らかの変更がある場合、またはCA自体が侵害された場合にCA自体が権限取り消しリストと呼ばれるものに表示される場合にリストできます(ARL)。 証明書がCRLに表示されるもう1つの理由は、証明書が何らかの理由で保留になっているためです。 保持されているとリストされている証明書の場合、CAによって配布された次のCRLで復元できます。 デジタルセキュリティ証明書のステータスは頻繁に変更されるため、証明書失効リストの寿命は通常24時間ですが、それより短い場合もあります。