CRLのサイズ

S/MIMEの証明書を作るソフトについて調べています。

http://eternalwindows.jp/crypto/certverify/certv …
の記述で、以下のものがありました。

さて、それではユーザーは、どのようにしてCRLを取得することになるのでしょうか。 これは証明書の検証時などに、アプリケーション内で暗黙的に ネットワーク上からダウンロードすることになっているため、 ユーザーが手動でCRL配布ポイントにアクセスするようなことはありません。 ただし、ダウンロードしたCRLはローカルコンピュータ上にキャッシュすることも可能であり、 キャッシュされたCRLのみで証明書を検証する方法もよく用いられます。 また、CRLは証明書と同じくシステムストアに格納することも可能です。

となっていますが、CRLのデータサイズはどのくらいなのでしょうか？
大きすぎて扱いに困るようなことはありませんか？

よろしくお願いいたします。

No.2 ベストアンサー 回答者： mahbo1969 回答日時： 2013/10/24 20:51

PCで扱っている限り、CRLの大きさが問題になる事はまずないように思います。

CRLは証明書失効リスト(Certificate Revocation List)の名前が示すとおり、失効(Revoke)された証明書のリストです。
証明書を失効するのはその証明書を発行した認証局であり、CRLは認証局単位で発行されます。
CRLに登録されるデータは失効された証明書のシリアル番号と失効日です。そのため、一つ一つの登録データは証明書より遥かに小さい物です。
証明書の対となる秘密鍵が漏洩した場合や間違って証明書を発行してしまった場合など、失効は証明書をその有効期限前に強制的に無効にする必要が生じた場合にする行為です。そのため、そういう事態が生じなければ失効する事は有りません。
証明書を失効した場合でも、その証明書の有効期限が過ぎれば新しいCRLからは登録データは除外されるはずです。際限なく増え続けるという事も有りません。


S/MIMEの証明書を使うという事は、古い携帯電話のような資源の限られた環境ではまずないと思います。
CRLが異常に大きくなるというのは、証明書を大量に発行している認証局を閉鎖する場合でもなければ、あまり無いと思いますし、完全なCRLだったとしてもCRLが大きすぎで扱いに困るという事態はまず無いように思います。

ちなみに、日本ベリサイン(https://www.verisign.co.jp/)で受け取った証明書のCRLについては、現時点(2013/10/24 20:36)でては180KBでした。

この回答へのお礼

ありがとうございます。

作業はPCでやっています。
ソフトもパソコン用のものを作る予定です。

具体的なサイズが分かって一安心です。

これからもよろしくお願いいたします。

お礼日時：2013/10/24 22:49

No.1 回答者： jjon-com 回答日時： 2013/10/24 20:43

> ユーザーが手動でCRL配布ポイントにアクセスするようなことはありません。

一般的にそうしないというだけで，やりたければ容易にできますから，
適当な証明書の「CRL配布ポイント」のURLを表示して，Webブラウザを使って.crlファイルをHTTPで入手すればいいでしょう。
http://eternalwindows.jp/crypto/certverify/certv …


> 大きすぎて扱いに困るようなことはありませんか？

せいぜい数十KB程度の小さなファイルだと思います。私が出会っていないだけで，もっと巨大なファイルもあるのかも知れませんが。

この回答へのお礼

ありがとうございました。

準備に手間取っています。
RFCをいくつか読んだりして、
やっと資料の使えそうな部分に付箋を貼ったところです。

これからもご指導ください。

お礼日時：2013/10/24 22:45