I'm Developer
CRL은 네트웍 상을 통한 서버 접근 제어에 PKI를 적용할 때 쓰게 되는 일반적인 두 가지 방식 중 하나이다.
다른 하나는 OCSP인데, 이는 좀 더 새로운 방식으로서 일부에서는 CRL을 대치하기도 한다.
CRL은 가입자 이름과 인증서의 현재 상태로 구성된 목록인데, 폐기 사유와 인증서 발급일, 발급기관 등의 정보도 포함되어 있다.
그 외에도, 각 목록에는 다음번 폐기 목록의 발표 예정일자도 포함되어 있다.
사용자가 서버에 접근을 시도하면, 서버는 그 사용자에 관한 CRL 정보에 기반을 두고 접근 허용 여부를 판단하게 된다.
CRL은 최신 목록을 자주 다운로드해야 한다는 점이 주요 약점으로 여겨지고 있다.
이에 반해 OCSP는 실시간으로 인증서 상태를 확인하도록 함으로써 이 한계를 극복하고 있다.
인증기관은 보안적격 여부와 그리고 메시지의 암호화와 복원을 위한 공개키들을 발급하고 관리하는 네트웍 상의 기관이다.
공개키 기반구조의 일부로서, 인증기관은 디지털 인증서 요구자에 의해 제공되는 정보를 검증하기 위한 등록기관(RA)과 함께 안전성 등을 검사한다.
만약 등록기관이 요구자의 정보를 입증하면, 인증기관은 인증서를 발급할 수 있다.
공개키 기반구조 구현에 따라 조금씩 다르지만, 인증서는 대개 소유자의 공개키, 인증서의 유효기간, 소유자의 이름 및 기타 공개키 소유자에 관한 다른 정보들을 포함한다.
Marc Branchaud의 논문인, “공개키 기반구조의 개관”에 공개키 암호문이 어떻게 이루어지는 지와, 몇몇 PKI의 접근방식 등을 비교한 자료가 제공되고 있습니다.
IBM의 보안기술 관련 사이트에서 X.509 인증서와 공개키 기반구조에 관해 설명하고 있습니다.
VeriSign은 주로 전자상거래를 위해 125,000개 이상의 웹사이트에 SSL 서버 인증서를 제공하고 있는 선도적인 인증기관입니다.