인증서폐지목록
일단 인증서가 발급된 이후에는 인증서에 표시된 유효기간 이내에는 자유롭게 인증서를 사용할 수 있습니다. 하지만 인증서 유효기간 이내에 부득이한 사정, 즉 인증서의 분실이나 개인키의 손상 등으로 더이상 사용할 수 없거나 개인키가 외부로 유출되거나 유출 가능성이 있는 경우 등에 대하여 가입자의 신청 또는 인증기관의 직권으로 해당 인증서의 효력을 강제 종료시킬 수 있습니다. 이렇게 효력이 강제로 종료된 인증서를 폐지된 인증서라고 합니다.
인증서가 폐지되었다고 하더라도 가입자 또는 악의의 제3자가 그 폐지된 인증서의 사본을 가지고 사용할 경우, 이를 확인하는 방법이 없다면 인증체계의 안정성이나 신뢰성에 큰 타격을 입게 될 것입니다. 따라서 인증기관은 인증서가 폐지되었는지 여부를 확인할 수 있는 다양한 수단을 제시하고 있습니다. 이러한 수단에는 인증서폐지목록의 게시, 온라인인증서상태확인서비스(OCSP; Online Certificate Status Protocol), 인증서검증서비스(SCVP; Simple Certificate Validation Protocol) 등이 있습니다.
인증기관이 폐지된 인증서의 목록을 만들어 인터넷에 게시하는 것을 인증서폐지목록이라 합니다. 인증서폐지목록 역시 인증서와 마찬가지로 인증기관이 서명하여 생성합니다. 인증서폐지목록은 목록이 생성되어 게시되는 특성상 인증서가 폐지될 때마다 즉각적으로 반영하기 어렵습니다. 보통 폐지목록에 등재될 인증서 용도의 중요성이나 폐지의 빈도 등을 고려하여 특정한 주기(하루, 일주일 등)를 정하여 반복적으로 생성 게시하게 되며, 인증서를 검증할 사람도 최신의 인증서폐지목록을 구할 수 있도록 인증서폐지목록 자체에도 유효기간이라는 개념을 포함하고 있습니다.
폐지목록이 항상 최신의 폐지정보를 포함하고 있지 않기 때문에 최대한 인증서폐지목록의 갱신 주기만큼의 누락이 발생할 수 있습니다. 따라서 더 정확한 정보를 필요로 하는 금융이나 전자거래 등에서는 인증서폐지목록을 사용하는 것보다 실시간으로 그 상태를 확인해 주는 OCSP 등의 서비스를 활용하는 것이 바람직할 것입니다.