証明書失効リスト、すなわち CRL は、キーのペアおよび証明書を発行する CA が管理する失効した証明書のリストのことです。CRL チェックを有効にすると、証明書が要求されるたびに、その証明書が失効しているかどうかを確認するためにシステムが CRL をチェックします。
smime.conf ファイルで crlenable に 1 を設定すると、有効期限が切れていないキーが見つかると CRL テストが実行されます。公開キーの証明書は、CRL でチェックされます。各 CA の CRL は 1 つのみですが、同じ CRL が異なる場所に存在することは可能です。
S/MIME アプレットが Messaging Server にチェックの要求を送信すると、Messaging Server で CRL による証明書のチェックが実行されます。公開キーの証明書は、公開キーの検証に使用されます。非公開キーは公開されず、そのキーの所有者のみが使用するため、非公開キーを CRL で直接チェックすることはできません。非公開キーが有効であるかどうかを確認するには、キーのペアの公開キーの証明書が使用されます。公開キーの証明書が CRL テストに合格すると、関連する非公開キーもテストに合格します。
証明書の所有者が所属組織の一員でなくなったため、またはスマートカードを失くしたためなど、証明書の失効はさまざまな理由で発生します。
証明書を CRL でチェックする必要がある状況には次の 3 つがあります。
送信メッセージが署名されているとき
S/MIME アプレットは、sendsigncert に 0 が、または crlenable に 0 が設定されていないかぎり、常にこのチェックを実行します。
着信署名付きメッセージを読むとき
S/MIME アプレットは、readsigncert に 0 が、または crlenable に 0 が設定されていないかぎり、常にこのチェックを実行します。
送信メッセージが暗号化されているとき
S/MIME アプレットは、sendencryptcert に 0 が、または crlenable に 0 が設定されていないかぎり、常にこのチェックを実行します。