デジタル証明書の失効
デジタル証明書は秘密鍵情報が漏洩したときなど、セキュリティ的に問題が発生した場合は速やかにその証明書を失効するべきです。
デジタル証明書には「CRL 配布ポイント」と呼ばれる情報が入っており、CRL が存在する URL が書かれています。
デジタル証明書を検証する際には、ルート証明書までのチェーン構成だけでなく、CRL で失効されていないかどうかも確認します。
下記 Google の証明書の例で言うと、その URL は以下のようになっています。
http://pki.google.com/GIAG2.crl
通常この CRL ファイルの URL は、http か LDAP (ldap://~~) か CIFS (cifs://~~) です。
コメント