Open棟梁Project - マイクロソフト系技術情報 Wiki * 目次 [#f6ff7c22] #contents *概要 [#s0114847] 公開鍵基盤 (PKI) における失効した(信頼できない)公開鍵証明書のリスト(正確には、証明書のシリアル番号のリスト)。 -CRLはPKIを使ったアプリケーションが証明書の有効性を検証するのに使われる。 - --CRLは定期的に生成され、公開される。 --証明書が失効となった場合、即座にCRLを公開することもできる。 --CRLはCAが適切な証明書付きで発行する。 ---たいていのCRLには次回発行予定日時がある。 ---この日時は発行日時から 24 時間以内であることが多い。 *失効理由 [#fd00664d] RFC 5280 で定義されている証明書の失効理由 **Revoked(失効) [#u1532c79] ***認証局 (CA) が [#g2978501] -不正に証明書を発行したことが判明した場合 -秘密鍵を紛失したと考えられる場合、 証明書は不可逆に失効とされる。 ***証明書の発行を受けた者が [#ade7504a] CAの定めた規則に反する行為(文書偽造など)をしていると判明した場合。 ***最も多い失効理由 [#i07e6652] 秘密鍵が漏洩してしまい、認証の役に立たなくなった場合。 **Hold(停止) [#k764e2c9] 再度証明書を有効な状態に戻すことができる場合。 例えば、ユーザーが秘密鍵を紛失したか盗まれた可能性がある場合 一時的に証明書を停止させ、後日それが間違いで~ 誰もその間秘密鍵にアクセスできなかったことが判明した場合~ その場合、その証明書のシリアル番号はCRLから削除される。