CRL (certificate revocation list) ; 인증서 폐기 목록

CRL은 네트웍 상을 통한 서버 접근 제어에 PKI를 적용할 때 쓰게 되는 일반적인 두 가지 방식 중 하나이다. 다른 하나는 OCSP인데, 이는 좀 더 새로운 방식으로서 일부에서는 CRL을 대치하기도 한다.

CRL은 가입자 이름과 인증서의 현재 상태로 구성된 목록인데, 폐기 사유와 인증서 발급일, 발급기관 등의 정보도 포함되어 있다. 그 외에도, 각 목록에는 다음번 폐기 목록의 발표 예정일자도 포함되어 있다. 사용자가 서버에 접근을 시도하면, 서버는 그 사용자에 관한 CRL 정보에 기반을 두고 접근 허용 여부를 판단하게 된다.

CRL은 최신 목록을 자주 다운로드해야 한다는 점이 주요 약점으로 여겨지고 있다. 이에 반해 OCSP는 실시간으로 인증서 상태를 확인하도록 함으로써 이 한계를 극복하고 있다.


작성 : 02-08-15 수정 : 07-01-09
영어판(whatis.com)