CRL 【Certificate Revocation List】証明書失効リスト

概要

CRL（Certificate Revocation List）とは、何らかの理由で有効期限前に失効させられたデジタル証明書(公開鍵証明書)のリスト。証明書の発行元の認証局(CA)が管理・公開しており、定期的に更新される。

誤発行や秘密鍵の漏洩などが判明し、悪用の可能性があると判断された証明書は有効期間が残っていてもCAの判断で効力が停止される。無効になった証明書を周知するための手段として、CAはCRLに証明書のシリアル番号を記載して公開し、使用しないよう呼びかける。

効力の停止は厳密には二種類あり、恒久的に無効化される失効（revoke）と、調査のため一時的に無効化される停止（hold）に分かれる。停止された証明書は秘密鍵の状態などを調べ、安全だと判断されればCRLから削除され効力が復活する場合もある。

提示された証明書が有効かどうかを利用者側でチェックするには、CAから最新のCRLをダウンロードして証明書のシリアル番号が含まれていないか照合する方法が最も単純だが、CRLの容量が大きい場合は通信帯域にかかる負担が大きく、最新の情報を入手するためチェックする度に毎回ダウンロードし直さなければならないという問題がある。

このため、検証局（VA：Validation Authority）と呼ばれる機関でCRLを集中的に管理し、利用者側からはOCSP（Online Certificate Status Protocol）などのプロトコル（通信規約）でVAに問い合わせを行う方式がよく用いられる。CRL全体を入手しなくても特定の証明書の状態だけをリアルタイムに知ることできる。