증명서 취소 리스트

Certificate revocation list

암호학에서 CRL(증명서 취소 목록)은 "발급 인증국(CA)에 의해 예약된 만료일 전에 취소되어 더 이상 신뢰할 [1]수 없는 디지털 인증서 목록"입니다.대신 [3][4]대체 증명서 취소 테크놀로지(OCSP 등)가 사용되기 때문에 CRL은 CA/Browser [2]포럼에서 더 이상 필요하지 않습니다.그럼에도 불구하고 CRL은 여전히 CA에 [5]의해 널리 사용되고 있습니다.

실효 상태

RFC 5280에 정의되어 있는 실효 상태에는 다음 2가지가 있습니다.

취소됨
증명서는 예를 들어 인증국(CA)이 증명서를 부적절하게 발급한 것이 발견되거나 개인 키가 침해되었다고 생각되는 경우 되돌릴 수 없이 취소됩니다.증명서는 허위의 문서 공개, 소프트웨어 동작의 잘못된 표시, CA 운영자 또는 그 고객이 지정한 기타 정책 위반 등의 정책 요건을 준수하지 않은 경우에도 취소될 수 있습니다.취소의 가장 일반적인 이유는 사용자가 개인 키를 독점적으로 소유하고 있지 않기 때문입니다(개인 키를 포함한 토큰이 분실되거나 도난당한 경우 등).
잡고 있어
이 리버서블 상태는 증명서의 일시적인 무효를 기록하기 위해 사용할 수 있습니다(예를 들어 사용자가 개인 키를 잃어버렸는지 확실하지 않은 경우).이 예에서 개인 키가 발견되어 아무도 개인 키에 액세스할 수 없는 경우 상태를 복원하고 증명서를 다시 유효하게 하여 향후 CRL에서 증명서를 삭제할 수 있습니다.

취소 이유

RFC 5280에[6] 따라 증명서를 취소하는 이유는 다음과 같습니다.

  • unspecified(0)
  • keyCompromise(1)
  • cACompromise(2)
  • affiliationChanged(3)
  • superseded(4)
  • cessationOfOperation(5)
  • certificateHold(6)
  • removeFromCRL(8)
  • privilegeWithdrawn(9)
  • aACompromise(10)

값 7은 사용되지 않습니다.

해지 목록 게시

CRL은 정기적으로 생성되어 공개됩니다.대부분 정의된 간격으로 공개됩니다.CRL은 증명서가 실효된 직후에 퍼블리시할 수도 있습니다.CRL은 CRL 발행자에 의해 발행됩니다.일반적으로 CRL은 대응하는 증명서도 발행한CA이지만 다른 신뢰할 수 있는 기관일 수도 있습니다.모든 CRL의 유효기간은 24시간 이내입니다.CRL의 유효기간 중에는 PKI 대응 어플리케이션에 문의하여 증명서를 검증한 후 사용할 수 있습니다.

스푸핑 또는 서비스 거부 공격을 방지하기 위해 보통 CRL은 해당 공격이 발행되는 CA와 관련된 디지털시그니처를 전송합니다특정 CRL에 의존하기 전에 이를 검증하려면 대응하는 CA의 증명서가 필요합니다.

CRL을 유지해야 하는 증명서는 보통 X.509/공개키 증명서입니다.이 형식은 일반적으로 PKI 스킴에서 사용되기 때문입니다.

실효와 유효기간

유효기간은 CRL을 대체할 수 없습니다.만료된 모든 인증서가 유효하지 않은 것으로 간주되지만 만료되지 않은 모든 인증서가 유효한 것은 아닙니다.CRL 또는 기타 증명서 검증 기법은 증명서 검증 및 키 관리에 실수가 발생할 것으로 예상되기 때문에 적절하게 작동하는 PKI의 필수 요소입니다.

주의할 만한 예에서는, Microsoft 의 증명서가, ActiveX 의 「퍼블리셔 증명서」시스템(VeriSign)[7]의 유지보수를 계약한 CA 에 대해서, Microsoft 의 위장이 정상적으로 행해진 무명의 개인에게 잘못 발행되고 있습니다.Microsoft는 증명서를 신뢰하기 전에 증명서의 상태를 확인할 수 있도록 암호화 서브시스템에 패치를 적용할 필요가 있다고 생각했습니다.단기적인 수정으로서, 문제의 2개의 증명서를 「취소」[8]라고 기재한, 관련하는 Microsoft 소프트웨어(가장 중요한 것은 Windows)에 대한 패치가 발행되었습니다.

인증서 해지 목록 문제

베스트 프랙티스에서는 증명서 상태가 유지되는 장소와 방법을 불문하고 증명서에 의존하고 싶을 때마다 체크해야 합니다.그렇지 않으면 실효된 증명서가 유효하다고 잘못 받아들여질 수 있습니다.즉, PKI를 효과적으로 사용하려면 현재 CRL에 액세스할 수 있어야 합니다.이 온라인 검증 요건은 대칭 암호 프로토콜에 대한 PKI의 원래 주요 장점 중 하나인 "자체 인증" 인증서를 부정합니다.Kerberos 등의 대칭 시스템도 온라인 서비스(Kerberos의 경우 주요 배포 센터)의 존재에 의존합니다.

CRL의 존재는 누군가(또는 일부 조직)가 정책을 적용하여 운영 정책에 반한다고 간주되는 증명서를 해지해야 함을 의미합니다.증명서가 잘못 취소되면 중대한 문제가 발생할 수 있습니다.인증국은 증명서를 발급하기 위한 운영정책을 시행하는 업무를 담당하기 때문에 일반적으로 운영정책을 해석하여 실효가 적절한지, 적절한 시기를 판단합니다.

증명서를 받아들이기 전에 CRL(또는 기타 증명서 상태 서비스)에 문의해야 하기 때문에 PKI에 대한 서비스 거부 공격이 발생할 수 있습니다.사용 가능한 유효한 CRL이 없는 경우 증명서 수락에 실패하면 증명서 수락에 따라 작업을 수행할 수 없습니다.이 문제는 Kerberos 시스템에서도 발생합니다.현재 인증 토큰을 취득하지 못하면 시스템접근이 차단됩니다.

CRL을 사용하는 대신 OCSP(Online Certificate Status Protocol)로 알려진 인증서 검증 프로토콜을 사용할 수 있습니다.OCSP에는 네트워크 대역폭이 적게 소요되므로 대량 또는 고부가가치 운용에 대해 실시간 및 근실시간 상태 체크를 할 수 있다는 주요 이점이 있습니다.

Firefox 28에서 Mozilla는 OCSP를 위해 [3]CRL을 폐지한다고 발표했습니다.

CRL 파일은 시간이 지남에 따라 상당히 커질 수 있습니다.예를 들어, 특정 기관의 경우 수 메가바이트가 됩니다.따라서 증분 CRL은 "delta CRL"이라고도 합니다[9].다만,[10] 이러한 기능을 실장하는 클라이언트는 소수 클라이언트입니다.

권한 취소 목록

Authority Revocation List(ARL; 권한 취소 목록)는 취소된 엔드 엔티티 [11][12]증명서를 포함하는 CRL과 달리 인증국에 발급된 취소된 증명서를 포함하는 CRL 형식입니다.

「 」를 참조해 주세요.

레퍼런스

  1. ^ "What is Certificate Revocation List (CRL)? - Definition from WhatIs.com". TechTarget. Retrieved October 26, 2017.
  2. ^ "Baseline Requirements". CAB Forum. Archived from the original on 2014-01-07. Retrieved 1 November 2021.
  3. ^ a b "As of Firefox 28, Firefox will not fetch CRLs during EV certificate validation". groups.google.com.
  4. ^ "RFC 6960: X.509 Internet Public Key Infrastructure: Online Certificate Status Protocol - OCSP". Internet Engineering Task Force (IETF). June 2013. Archived from the original on 2018-12-15. Retrieved 2021-11-24. In lieu of, or as a supplement to, checking against a periodic CRL, it may be necessary to obtain timely information regarding the revocation status of certificates. ... OCSP may be used to satisfy some of the operational requirements of providing more timely revocation information than is possible with CRLs and may also be used to obtain additional status information.
  5. ^ Korzhitskii, Nikita; Carlsson, Niklas. Revocation Statuses on the Internet. In proceedings of 2021 Passive and Active Measurement Conference (PAM 2021).{{cite book}}: CS1 maint :url-status (링크)
  6. ^ "RFC 5280". tools.ietf.org. IETF. p. 69. section 5.3.1, Reason Code. Retrieved 2019-05-09.
  7. ^ Robert Lemos. "Microsoft warns of hijacked certificates - CNET News". News.cnet.com. Retrieved 2019-05-09.
  8. ^ "Microsoft Security Bulletin MS01-017 : Erroneous VeriSign-Issued Digital Certificates Pose Spoofing Hazard". Technet.microsoft.com. 2018-07-20. Retrieved 2019-05-09.
  9. ^ "RFC 5280 - Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile". Tools.ietf.org. Retrieved 2019-05-09.
  10. ^ Archiveddocs (2018-03-20). "Configure CRL and Delta CRL Overlap Periods". Microsoft Docs. Retrieved 2020-06-25.
  11. ^ IBM (2021-02-04). "Setting up LDAP servers". IBM Knowledge Center. Retrieved 2021-02-18.
  12. ^ IBM. "Creating a distribution point ARL". IBM Knowledge Center. Retrieved 2021-02-18.