SSL 인증서의 CRL 이란?

기술자료, 설치/적용 이슈 주요 사례

SSL 인증서는 발급자-CA- 에 의해서 만료기한 이전에라도 폐기 처리가 가능합니다. (주요 폐기 사유는, 발급주문취소 / 부정발급 / 인증서오류 등입니다)

내가 방문하는 웹사이트에 SSL 인증서가 적용되어 있는데, 이 인증서가 유효한 인증서인지는 어떻게 확인할까요? 그것은 CRL (Certificate Revocation List) 을 통해서 확인이 가능합니다.

웹브라우져의 기본 기능 (옵션) 에는 SSL 적용 웹사이트 접속시 최초에 설정된 SSL 인증서가 유효한지 검사를 하게되어 있습니다. (인증서 만료 확인은 CRL 이 아니어도 인증서 자체에 표기되어 있어 바로 확인)

 

CRL 목록은 주기적으로 업데이트가 됩니다. 그래서 CA 에서 폐기된 인증서가 즉시 확인되지 않을수도 있습니다.   CRL 정보는 접속하는 사이트에 설정된 SSL 인증서 정보에 경로가 포함되어 있으며, 해당 인증서에 표기된 CRL 경로를 기준으로 웹브라우져는 검사를 진행합니다.


최근 Sectigo 에서는 인증서 정보에 CRL 항목을 제외하고 있습니다. CRL 기능은 OCSP 정보를 통해서 대체 가능합니다.
참조 https://www.sslcert.co.kr/guides/kb/24

 

컨텐츠의 무단 전재/복사 및 이메일 주소의 수집/이용을 허용하지 않습니다.
bitSyrup 2023. All rights reserved.