ホーム > ITストラテジスト試験 > 2017年
ITストラテジスト試験 2017年 午前2 問25
ディジタル証明書が失効しているかどうかをオンラインでリアルタイムに確認するためのプロトコルはどれか。
ア:CHAP
イ:LDAP
ウ:OCSP(正解)
エ:SNMP
解説
ディジタル証明書の失効確認に用いるプロトコルはどれか【午前2 解説】
要点まとめ
- 結論:ディジタル証明書の失効をリアルタイムで確認するにはOCSPが最適です。
- 根拠:OCSPはオンラインで証明書の有効性を即座に問い合わせる仕組みを提供します。
- 差がつくポイント:CRLは失効リストをまとめて配布する方式で遅延があるため、即時性が求められる場面ではOCSPが優れています。
正解の理由
ディジタル証明書の失効確認には、証明書失効リスト(CRL)を使う方法と、オンライン証明書状態プロトコル(OCSP)を使う方法があります。OCSPはクライアントが証明書の状態をリアルタイムで問い合わせることができ、即時に失効情報を得られるため、オンラインでの失効確認に最適です。選択肢の中でOCSPだけがこの目的に合致しています。
よくある誤解
LDAPはディレクトリサービスのプロトコルであり、証明書の失効確認には使いません。CHAPは認証プロトコル、SNMPはネットワーク管理用のプロトコルです。
解法ステップ
- 問題文から「ディジタル証明書の失効をオンラインでリアルタイムに確認」と条件を把握する。
- 選択肢のプロトコルの役割を整理する(CHAPは認証、LDAPはディレクトリ、OCSPは証明書状態確認、SNMPは管理)。
- リアルタイムかつオンラインで失効確認ができるプロトコルはOCSPであると判断する。
- よって正解はウ(OCSP)と確定する。
選択肢別の誤答解説
- ア: CHAP
認証プロトコルであり、証明書の失効確認とは無関係です。 - イ: LDAP
ディレクトリサービス用で証明書の状態確認には使いません。 - ウ: OCSP
証明書の失効状態をオンラインでリアルタイムに問い合わせるためのプロトコルで正解です。 - エ: SNMP
ネットワーク機器の管理用プロトコルであり、証明書の失効確認には関係ありません。
補足コラム
OCSPはRFC 6960で規定されており、証明書失効リスト(CRL)を補完する技術です。CRLは一定期間ごとに更新されるため、最新の失効情報を即座に反映できない欠点があります。OCSPはこれを解消し、セキュリティの向上に寄与しています。
FAQ
Q: CRLとOCSPの違いは何ですか?
A: CRLは失効証明書のリストをまとめて配布する方式で、更新間隔があるためリアルタイム性に欠けます。OCSPはオンラインで即時に証明書の状態を問い合わせる方式です。
A: CRLは失効証明書のリストをまとめて配布する方式で、更新間隔があるためリアルタイム性に欠けます。OCSPはオンラインで即時に証明書の状態を問い合わせる方式です。
Q: OCSPレスポンダとは何ですか?
A: OCSPレスポンダはOCSPリクエストに応答し、証明書の有効性情報を提供するサーバーのことです。
A: OCSPレスポンダはOCSPリクエストに応答し、証明書の有効性情報を提供するサーバーのことです。
関連キーワード: ディジタル証明書, OCSP, 証明書失効, CRL, セキュリティプロトコル, リアルタイム検証