[X509] 폐기된 인증서 (Revoked Certificates ) 와 CRL 엔트리 확장 필드 (CRL Entry Extensions)

인증서를 사용 하다 보면 인증서가 만료 되지 전에 폐기를 해야 하는 경우가 있다.
인증서 사용자는 사용 인증서를 CA에게 요청을 하고 CA는 인증서를 폐기 후 CRL에 게시를 한다.

CRL 파일에는 폐기된 인증서 정보(Revoked Certificates ) 가 들어 있는데
이 정보가 인증서의 폐기 되었다는 것을 표시 하는 정보이다.
폐기 정보에는 기본적으로 인증서의 일련 번호와 폐지 날짜가 있다. 그리고 CRL 엔트리 확장 필드를 사용해 추가적인 정보가 제공된다.

일련 번호는 해당 인증서의 일련번호 값이다.
폐지 날짜는 인증서를 폐기한 시간 값이다.
그리고 CRL 엔트리 확장 필드를 사용하는데 일반적으로 CRL 엔트리 확장 필드의 Reason Code 값을 사용한다.

아래 그림이 예제 화면이다.

Revoked Certificates

폐기 인증서 ASN.1

     revokedCertificates     SEQUENCE OF SEQUENCE  {
          userCertificate         CertificateSerialNumber,
          revocationDate          Time,
          crlEntryExtensions      Extensions OPTIONAL
                                   -- if present, version MUST be v2
                               }  OPTIONAL,
     crlExtensions           [0] Extensions OPTIONAL }
                                   -- if present, version MUST be v2

CRL 엔트리 확장 필드란

이 형식은 발급된 인증서의 효력정지 및 폐기 사유 및 폐기 시간 정보를 나타낸다.
CRL 엔트리 확장 필드에 나타나는 정보는 3가지이다

1. 폐기 사유 ( Reason Code )
2. 폐기 시간 ( Invalidity Date )
3. 인증서 발급자 ( Certificate Issuer )

이렇게 3가지 이다.

폐기 사유 (Reason Code)

   id-ce-cRLReasons OBJECT IDENTIFIER ::= { id-ce 21 }

   -- reasonCode ::= { CRLReason }

   CRLReason ::= ENUMERATED {
        unspecified             (0),
        keyCompromise           (1),
        cACompromise            (2),
        affiliationChanged      (3),
        superseded              (4),
        cessationOfOperation    (5),
        certificateHold         (6),
             -- value 7 is not used
        removeFromCRL           (8),
        privilegeWithdrawn      (9),
        aACompromise           (10) }

• unspecified : 특별한 폐지 사유가 없는 경우
• keyCompromise : 인증서 소유자의 키가 손상된 경우 사용
• cACompromise : 인증서 발급자의 키가 손상된 경우 사용
• affiliationChanged : 소유자의 명칭 또는 기타 정보가 변경 된 경우 사용
• superseded : 키 손상 없이 인증서를 폐지 하고자 하는 경우 사용, 인증서 갱신 처럼 이전 인증서 폐기 때 사용
• cessationOfOperation : 더 이상 지정된 목적으로 인증서를 사용하지 않는 경우 사용
• certificateHold : 인증서 효력 정지에 사용
• removeFromCRL : 델타 인증서 효력 정지 및 폐지 목록과 함께 사용

폐지 일자 (Invalidity Date )

효력 정지 및 폐지 사유가 발생한 시점에 대한 정보를 나타낸다.
시각 정보는 GMT로 표현하며 2049년까지는 UTCTime 형식을 사용하고 2050년은 GeneralizedTime 형식을 사용한다.

인증서 발급자 ( Certificate Issuer )

이 필드는 간접 CRL과 관련하여 CRL 내에 효력 정지 및 폐지된 인증서의 발급기관에 대한 명칭을 나타낸다.
간접 CRL의 첫번째가 이 확장 필드를 사용하지 않았다면 인증서의 발급자가 CRL 발급자와 동일하다는 의미이다.
첫번째 엔트리 이후 후속 엔트리가 없다면 직전 엔트리의 인증서 발급자와 동일 하다고 간주 한다.

마무리

CRL을 사용하여 해당 인증서의 실제 목록 값을 표시한 영역이다.
보통 인증서 검증시 폐기 유무를 확인하게 되어서 이 사용하는 인증서의 시리얼 번호가 존재 유무를 확인 하기 위하여 사용하는 것이다.