CRL (certificate revocation list) – 인증서 폐기 목록

CRL은 네트웍 상을 통한 서버 접근 제어에 PKI를 적용할 때 쓰게 되는 일반적인 두 가지 방식 중 하나이다.

다른 하나는 OCSP인데, 이는 좀 더 새로운 방식으로서 일부에서는 CRL을 대치하기도 한다.

CRL은 가입자 이름과 인증서의 현재 상태로 구성된 목록인데, 폐기 사유와 인증서 발급일, 발급기관 등의 정보도 포함되어 있다.

그 외에도, 각 목록에는 다음번 폐기 목록의 발표 예정일자도 포함되어 있다.

사용자가 서버에 접근을 시도하면, 서버는 그 사용자에 관한 CRL 정보에 기반을 두고 접근 허용 여부를 판단하게 된다.

CRL은 최신 목록을 자주 다운로드해야 한다는 점이 주요 약점으로 여겨지고 있다.

이에 반해 OCSP는 실시간으로 인증서 상태를 확인하도록 함으로써 이 한계를 극복하고 있다.