인증서 폐지 (Certificate Revocation)

인증서 폐지 (Certificate Revocation)

인증서 유효기간 만료 전에 개인키 유출 등의 사유로 인증서를 무효화하고 검증 당사자에게 알리는 PKI 메커니즘

특징: 사전 무효화, 실시간성 중요

폐지사유: keyCompromise, cACompromise, affiliationChanged, superseded, cessationOfOperation

CRL: CA가 폐지 인증서 시리얼 목록 주기 발행, 24시간~7일 갱신, Delta CRL(변경분만), 한계(갱신 간격 내 지연/목록 크기 증가)

OCSP: 실시간 개별 질의(good/revoked/unknown), 프라이버시 문제(응답기가 방문사이트 추적), Soft-Fail 문제

OCSP Stapling: 서버가 OCSP 응답 캐싱→TLS 핸드셰이크 시 첨부, 프라이버시 보호, Must-Staple로 Soft-Fail 방지

비교: CRL(목록/지연/대역폭큼) vs OCSP(실시간/프라이버시취약) vs Stapling(서버대행/최우선)

적용사례: TLS 인증서 검증, 코드 서명 검증

연관: PKI, X.509 인증서, TLS