인증서 폐기 목록

인증서 폐기 목록, CRL(Certificate Revocation List)은 공개 키 기반 구조와 같은 체계에서 해지되었거나 더 이상 유효하지 않은 인증서의 목록을 의미한다. (구체적으로는 인증서들의 리스트는 인증서들의 시리얼 번호의 리스트를 의미한다.) CRL에 포함된 인증서는 유효하지 않으므로 신뢰해서는 안된다.

RFC 3280에 의하면 인증서 해지에는 두 가지가 있다.

• 해지(Revoked): 인증서가 영구적으로 해지된 상태. 예를 들어, 인증 기관이 잘못 인증서를 발급했거나 인증서의 개인키가 손상된 경우이다.
• 효력 중지(Hold): 임시적으로 인증서의 상태가 무효화 된 상태. 예를 들어, 사용자가 자신의 개인키를 잃어 버렸는지 확실하지 않은 상태는 효력 중지 상태가 된다. 만약 이후에 개인키가 발견되었고, 다른 누군가가 그 개인키에 접근하지 않았을 경우에는 인증서는 다시 유효하게 되며, 이후에 발행되는 CRL에서는 해당 인증서가 포함되지 않는다.

인증서를 해지하는 10가지 이유(RFC 5280):

• unspecified (0)
• keyCompromise (1)
• cACompromise (2)
• affiliationChanged (3)
• superseded (4)
• cessationOfOperation (5)
• certificateHold (6)
• (7번 값은 사용하지 않는다)
• removeFromCRL (8)
• privilegeWithdrawn (9)
• aACompromise (10)