応用情報技術者 2022年 秋期 午前2 問38
問題文
デジタル証明書が失効しているかどうかをオンラインで確認するためのプロトコルはどれか。
選択肢
ア:CHAP
イ:LDAP
ウ:OCSP(正解)
エ:SNMP
デジタル証明書の失効確認に使われるプロトコル【午前2 解説】
要点まとめ
- 結論:デジタル証明書の失効をオンラインで確認するにはOCSPが用いられます。
- 根拠:OCSPは証明書の有効性をリアルタイムで問い合わせるための標準プロトコルです。
- 差がつくポイント:LDAPやSNMPは証明書の失効確認には使わず、CHAPは認証プロトコルである点を理解しましょう。
正解の理由
ウ: OCSP(Online Certificate Status Protocol)は、証明書の失効状態をリアルタイムで確認するためのプロトコルです。証明書失効リスト(CRL)を待つことなく、即座に証明書の有効性を検証できるため、オンライン環境での証明書管理に適しています。
よくある誤解
OCSPとCRLは混同されやすいですが、CRLは失効証明書の一覧をまとめて配布する方式で、リアルタイム性に欠けます。LDAPやSNMPは証明書の失効確認には使いません。
解法ステップ
- 問題文から「デジタル証明書の失効をオンラインで確認」と条件を把握する。
- 選択肢のプロトコルの役割を整理する。
- CHAPは認証用、LDAPはディレクトリサービス、SNMPはネットワーク管理用であることを確認。
- OCSPが証明書失効のオンライン確認に特化したプロトコルであることを選択。
選択肢別の誤答解説
- ア: CHAP
認証プロトコルであり、証明書の失効確認には使いません。 - イ: LDAP
ディレクトリサービス用のプロトコルで、証明書の失効状態の問い合わせには適しません。 - ウ: OCSP
証明書の失効状態をリアルタイムで確認できる正解のプロトコルです。 - エ: SNMP
ネットワーク機器の管理用プロトコルであり、証明書の失効確認には関係ありません。
補足コラム
OCSPはRFC 6960で規定されており、証明書失効リスト(CRL)に比べて通信量が少なく、即時性が高いのが特徴です。多くのブラウザやシステムで採用されており、セキュリティ強化に寄与しています。
FAQ
Q: OCSPとCRLの違いは何ですか?
A: CRLは失効証明書の一覧を定期的に配布する方式で、OCSPは個別の証明書の状態をリアルタイムで問い合わせる方式です。
A: CRLは失効証明書の一覧を定期的に配布する方式で、OCSPは個別の証明書の状態をリアルタイムで問い合わせる方式です。
Q: LDAPで証明書の情報を管理できますか?
A: LDAPは証明書の格納や検索に使えますが、失効状態のオンライン確認には適していません。
A: LDAPは証明書の格納や検索に使えますが、失効状態のオンライン確認には適していません。
関連キーワード: OCSP, デジタル証明書、証明書失効、CRL, 認証プロトコル
\ せっかくなら /
応用情報技術者を
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!