PKI 폐지 확인

CRL은 목록, OCSP는 질의, Stapling은 첨부다

세 방식은 모두 “이 인증서를 아직 믿어도 되는가”를 묻지만, 누가 어디에 물어보는지와 지연·개인정보 노출 지점이 다르다.

확인 방식

CRL CA가 배포한 폐지 인증서 목록을 내려받아 일련번호를 대조한다.

OCSP 특정 인증서 하나의 상태를 OCSP responder에 온라인 질의한다.

OCSP Stapling 웹 서버가 미리 받은 OCSP 응답을 TLS 핸드셰이크에 첨부한다.

강점

일괄 확인 목록을 받은 뒤 여러 인증서를 로컬에서 대조할 수 있다.

인증서 단위 필요한 인증서 상태만 작게 묻고 최신 응답을 받을 수 있다.

지연 감소 클라이언트가 OCSP 서버에 직접 접속하는 부담을 줄인다.

주의점

목록 크기와 최신성 목록이 커지고 다음 갱신 전까지 폐지 반영이 늦을 수 있다.

가용성·프라이버시 OCSP 서버 지연이나 장애, 방문 사이트 노출 가능성을 고려한다.

서버 갱신 책임 서버가 유효한 OCSP 응답을 주기적으로 새로 받아야 한다.

인증서 검증 순서

  1. 1신뢰 체인과 전자서명
  2. 2유효기간, SAN 도메인, EKU
  3. 3CRL 또는 OCSP 폐지 확인

구분 질문

  1. L목록을 받으면 CRL
  2. Q특정 인증서를 물으면 OCSP
  3. S서버가 응답을 붙이면 Stapling