証明書を取り消すと、その有効期間が自然に切れる前に、信頼されたセキュリティ資格情報としての証明書が無効になります。セキュリティ資格情報としての証明書が有効期限より前に信頼できなくなる理由はさまざまです。たとえば、次のような例が挙げられます。

• 証明書の対象者の秘密キーが盗まれたか、そのおそれがある。
  
• 証明機関の秘密キーが盗まれたか、その恐れがある。
  
• 証明書を不正に取得したことが発覚した。
  
• 信頼されたエンティティとしての証明書のサブジェクトの状態が変わった。
  
• 証明書のサブジェクト名が変更された。
  

公開キー基盤 (PKI) は、資格情報の分散型検証に依存しており、資格情報を保証する中央の信頼された実体と直接通信する必要はありません。このため、証明書の有効性を確認しようとする個人、コンピュータ、およびアプリケーションに対して、証明書の失効情報を配信する必要があります。失効情報とその迅速性の要件は、アプリケーションとその証明書失効チェックの実装によって異なります。

証明書失効を効率的にサポートするには、証明書が有効なのか失効しているのかをクライアントが判定する必要があります。さまざまなシナリオに対応するために、証明書サービスでは業界標準の証明書失効方法をサポートしています。これらの方法には、証明書失効リスト (CRL) の発行、および Active Directory ディレクトリ サービス、Web サーバー、ネットワーク ファイル共有など、クライアントがアクセス可能な複数の場所での Delta CRL の発行があります。

CRL は、失効した、期限切れでない証明書のデジタル署名付きの包括的な一覧です。クライアントはこの CRL を取得して、構成された CRL の有効期間に基づいて保存し、使用対象として表示されている証明書を確認するために使用します。CRL は証明機関の規模によっては大きくなる場合があるため、Delta CRL が発行されることもあります。Delta CRL には、Base CRL の最後の発行後に失効された証明書だけが収められています。これにより、クライアントはより小規模な Delta CRL を取得し、失効した証明書の全一覧を速やかに構築することができます。Delta CRL を使用すると、発行頻度を増やすこともできます。一般に、Delta CRL のサイズでは包括的な CRL のように大量のオーバーヘッドを必要としないからです。

証明書サービスの証明書の失効の使用に関する概念的な情報については、「証明書を無効にし、CRL を公開する」を参照してください。証明書の失効を管理する手順については、「証明書の失効を管理する」を参照してください。