[X509] 인증서 폐기목록 분배점( CRL Distribution Points ) 이란?

인증서 폐기 목록 분배점은 Version 3 의 확장 필드로서
인증서의 상태 정보를 확인하는 CRL 의 위치 정보를 나타내는 필드 이다.
즉 해당 인증서의 폐기에 관한 정보를 공개된 위치에 게시를 하게 되고
이 확장 필드에서 그 위치 정보를 얻게 되는 것이다.

아래 그림은 CRL Distribution Points 의 예제 그림이다.

인증서 폐기 목록 분배점

위 그림에서 보면 http://crl3.digicert.com/DigiCertTLSRSASHA2562020CA1-4.crl 이 위치에 해당 CRL 파일을 얻을 수 있음을 알려준다.
물론 2번째 위치에서도 가져 올 수 있다.

인증서 폐기 목록 분배점 ASN.1

   id-ce-cRLDistributionPoints OBJECT IDENTIFIER ::=  { id-ce 31 }

   CRLDistributionPoints ::= SEQUENCE SIZE (1..MAX) OF DistributionPoint

   DistributionPoint ::= SEQUENCE {
        distributionPoint       [0]     DistributionPointName OPTIONAL,
        reasons                 [1]     ReasonFlags OPTIONAL,
        cRLIssuer               [2]     GeneralNames OPTIONAL }

   DistributionPointName ::= CHOICE {
        fullName                [0]     GeneralNames,
        nameRelativeToCRLIssuer [1]     RelativeDistinguishedName }

인증서 폐기 목록의 분배점에서 3가지 정보가 주요 값이다.

• distributionPoint : 이것은 CRL 위치 정보이다.
• reasons : CRL 이 사용하는 폐기 사유 목록이다. ( 없을 경우 CRL 은 모든 reason을 사용 할 수 있다)
• cRLIssuer : CRL 의 발급자 주소 이다. ( 이 필드가 없으면 인증서 발급자와 동일 한 경우 이다 )

인증서 폐기 목록 특성

• reasons 필드 단독으로는 사용하지 않는다.
• 인증서 발급자와 CRL 발급자가 동일 하면 cRLIssuer 은 생략 가능하다.
• distributionPoint 필드가 없을 경우 cRLIssuer 값은 생략 할 수 없다.
• nameRelativeToCRLIssuer 의 필드는 CRL issuer 값의 이어지는 상대 값을 나타낸다.

마무리

일반적으로 CRL 의 발급은 CA 가 하게 된다.
그리고 발급된 인증서에서 폐기 유무, 사유 및 폐기 시간 정보를 확인 하기 위해서
이 확장 필드에서의 정보를 이용해 CRL 을 가져오게 된다.