MacのChromeで証明書失効リスト(CRL)をダウンロードしてopensslで見てみる方法


勉強をしていて証明書失効リストなるものを見てみたいと思いました。

1 証明書失効リストをダウンロードする。

1.1 サイトを開いて鍵マークあたりを押下して、[証明書]の下にあるリンクを押下する。

1.2 [詳細な情報]欄を広げる。

1.3 [CRL配布ポイント]にある[URI]を押下して証明書失効リストをダウンロードする。

2 証明書失効リストを開いてみる

2.1 ターミナルを起動してopensslで開く

crl拡張子の開き方
openssl crl -inform der -in [証明書失効リスト] -text
# ex)
openssl crl -inform der -in sca1b.crl -text

2.2 見てみる

証明書失効リストの中身
Certificate Revocation List (CRL):
        Version 2 (0x1)
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: /C=US/O=Amazon/OU=Server CA 1B/CN=Amazon
        Last Update: Apr  8 17:04:08 2018 GMT
        Next Update: Apr 15 17:00:00 2018 GMT
        CRL extensions:
            X509v3 Authority Key Identifier: 
                keyid:59:A4:66:06:52:A0:7B:95:92:3C:A3:94:07:27:96:74:5B:F9:3D:D0

            X509v3 CRL Number: 
                886
Revoked Certificates:
    Serial Number: 0CD11D8D8691FED7501A20E114F37BA8 #<<< 電子証明書のシリアル番号
        Revocation Date: Mar 22 15:26:17 2017 GMT   #<<< 失効日
    Serial Number: 0BE6061F7EF760225030B79E41A0F553
        Revocation Date: Jun  1 06:00:52 2017 GMT
    Serial Number: 0E3A14D4980F4DBCF3CABB5D0BD28725
        Revocation Date: Jun  1 06:01:45 2017 GMT
 <省略>
    Serial Number: 0BADA0E3D760F6F9A64DE74E647A618B
        Revocation Date: Apr  8 16:30:52 2018 GMT
    Signature Algorithm: sha256WithRSAEncryption
         b7:56:51:66:89:ce:11:2a:a1:b5:b1:53:42:c8:41:6c:bc:f1:
         e2:87:03:51:1e:fb:e2:87:86:2d:3f:6c:3f:f1:2b:16:1d:3a:
         9e:2f:2b:f4:e7:80:34:e5:be:61:8c:18:3b:19:d0:32:fc:53:
 <省略>
         ea:c0:59:06
-----BEGIN X509 CRL----- #<<< PEM形式の鍵っぽいもの・・・認証局の電子署名かしら?CRLの仕様は、X.509の規格で決められているからその関係なのか?
MIK1bDCCtFQCAQEwDQYJKoZIhvcNAQELBQAwRjELMAkGA1UEBhMCVVMxDzANBgNV
BAoTBkFtYXpvbjEVMBMGA1UECxMMU2VydmVyIENBIDFCMQ8wDQYDVQQDEwZBbWF6
 <省略>
LZpBaTzONFw5xPfRLftpr7SWOU0jmxLTLyshpurAWQY=
-----END X509 CRL-----

出典