2.3.156 SSLCRLAuthoritative
CRLの次回発行日を経過した場合の動作を指定します。
説明
SSLクライアント認証時に使用するCRLの次回発行日の扱いについて指定します。
書式
SSLCRLAuthoritative {On|Off}
指定できる値
- On
-
SSLクライアント認証時、クライアント証明書に対応するCRLの次回発行日を過ぎていた場合、Webサーバは認証に失敗したとして、クライアントとの接続を拒否します。CRLの正しい運用が必要です。
- Off
-
CRLの次回発行日を無視します。次回発行日を過ぎていてもCRLは有効であると扱うため、CRLに登録されていなければ、クライアントは接続できます。セキュリティーレベルは下がりますが、CRLを正しく運用しなかったときでも、最低限のセキュリティーを維持して、サービスを継続できます。
デフォルト値
- 定義項目の省略
-
On
記述できる場所
httpsd.conf、<VirtualHost>
記述例
SSLCRLAuthoritative On
CRLの次回発行日を過ぎている場合、そのCRLを発行したCAが発行した証明書を持つクライアントのアクセスはすべて拒否します。