失効したデジタル証明書のリストのこと
簡単な説明
「この証明書、もう使っちゃダメよ!」っていうブラックリスト。セキュリティを守るために、CA(証明書を発行する機関)が「この人、証明書をなくしたみたい」とか「悪用された!」って判断したら、CRLに載せます。
由来
デジタル証明書は「この人、本物ですよ」と証明する電子的な身分証です。でも、パスワード漏洩みたいに、途中で信用できなくなることがあります。そこで、その証明書を無効にしたことをみんなに知らせるために、CRLが登場しました。
具体的な説明
CRL(証明書失効リスト)は、証明書を発行する認証局が、取り消された証明書の一覧を提供する仕組みです。これによって、ユーザーやシステムはその証明書がまだ使えるかどうか確認できます。CRLは通常、定期的に更新され、インターネット上で公開されます。
たとえば、Aさんが自分の電子証明書を使ってメールの署名をしていましたが、その秘密鍵が盗まれてしまった場合、その証明書は信頼できません。そこで、認証局がその証明書をCRLに登録します。メールの受信者はCRLを確認することで、「この証明書は失効してるな」と判断できます。
CRLはX.509標準に基づいており、失効された証明書のシリアル番号、失効日、失効理由などの情報が含まれます。システムはTLS/SSL通信時にこのCRLを参照し、証明書の信頼性を確認します。CRLのサイズが大きくなるとレスポンスに影響を与えるため、OCSP(Online Certificate Status Protocol)という代替手段も開発されています。
例文
「そのサイトの証明書がCRLに載ってたから、接続しないほうがいいよ。」
疑問
Q: CRLに載る理由って何がありますか?
A: 秘密鍵の漏洩、証明書の不正使用、所有者の資格喪失などが理由です。
Q: CRLの情報はどこで確認できますか?
A: 認証局のウェブサイトやLDAPなどで公開されていることが多いです。
Q: CRLとOCSPの違いはなんですか?
A: CRLはリスト全体を取得しますが、OCSPは1つの証明書だけを確認します。
Q: CRLが更新される頻度はどのくらいですか?
A: 通常は1日1回~数日に1回など、CAのポリシーによります。
Q: CRLを使わないとどうなりますか?
A: 失効した証明書を信じてしまい、セキュリティ事故につながる可能性があります。
理解度を確認する問題
次のうち、CRLに関する説明として正しいものはどれか。
A. デジタル証明書の有効期限を自動で延長するリスト
B. 失効した証明書の情報を記録したリスト
C. 電子署名の方式を一覧にしたもの
D. 秘密鍵を共有するユーザーのリスト
正解:B
関連論文や参考URL
“Certificate Revocation List Management in Public Key Infrastructure”
解説: CRLの配信負荷とタイムラグ問題に着目し、差分CRL(Delta CRL)やOCSPとの併用で高速かつリアルタイムな失効確認が可能であると結論。
結果: OCSPの導入により、CRLよりも最大90%高速に失効確認が可能であるとされた。
まとめ
CRLは「Certificate Revocation List」の略です。
有効期限内でも使えなくなった証明書の一覧です。
認証局(CA)が定期的に発行・公開します。
コメント