ホーム > ITストラテジスト試験 > 2021年
ITストラテジスト試験 2021年 午前2 問24
ディジタル証明書が失効しているかどうかをオンラインで確認するためのプロトコルはどれか。
ア:CHAP
イ:LDAP
ウ:OCSP(正解)
エ:SNMP
解説
ディジタル証明書の失効確認に使われるプロトコルはどれか【午前2 解説】
要点まとめ
- 結論:ディジタル証明書の失効をオンラインで確認するプロトコルはOCSPです。
- 根拠:OCSPは証明書の有効性をリアルタイムで問い合わせるために設計されたプロトコルだからです。
- 差がつくポイント:LDAPやSNMPは証明書失効確認には使わず、CHAPは認証プロトコルである点を理解しましょう。
正解の理由
ウ: OCSP(Online Certificate Status Protocol)は、証明書の失効状態をリアルタイムで確認するための標準プロトコルです。証明書の失効リスト(CRL)をダウンロードする代わりに、サーバーに直接問い合わせて失効情報を取得できるため、効率的かつ即時性があります。これにより、利用者は安全に通信を行うことが可能です。
よくある誤解
OCSPはCRLの代替として使われるため、CRLと混同しやすいですが、CRLはリストを一括取得する方式で即時性に欠けます。LDAPやSNMPは証明書失効確認には適しません。
解法ステップ
- 問題文から「ディジタル証明書の失効をオンラインで確認」とあることを確認する。
- 選択肢のプロトコルの役割を思い出す。
- CHAPは認証プロトコル、LDAPはディレクトリサービス、SNMPはネットワーク管理用であることを除外。
- OCSPが証明書失効確認のためのプロトコルであることを選択。
選択肢別の誤答解説
- ア: CHAP
認証プロトコルであり、証明書の失効確認には使いません。 - イ: LDAP
ディレクトリサービスのプロトコルで、証明書の管理には使われますが失効確認には不向きです。 - ウ: OCSP
証明書の失効状態をオンラインで即時に確認できる正解のプロトコルです。 - エ: SNMP
ネットワーク機器の管理用プロトコルであり、証明書失効確認とは無関係です。
補足コラム
OCSPはRFC 6960で規定されており、証明書失効リスト(CRL)に比べて通信量が少なく、リアルタイム性が高いのが特徴です。多くのブラウザやセキュリティ製品で採用されており、安全なインターネット通信の基盤となっています。
FAQ
Q: OCSPとCRLの違いは何ですか?
A: CRLは失効証明書の一覧をまとめて配布する方式で、更新頻度が低く即時性に欠けます。OCSPは個別に失効状態を問い合わせるためリアルタイム確認が可能です。
A: CRLは失効証明書の一覧をまとめて配布する方式で、更新頻度が低く即時性に欠けます。OCSPは個別に失効状態を問い合わせるためリアルタイム確認が可能です。
Q: LDAPは証明書管理に使えますか?
A: はい、LDAPは証明書の登録や検索に使われますが、失効確認のためのプロトコルではありません。
A: はい、LDAPは証明書の登録や検索に使われますが、失効確認のためのプロトコルではありません。
関連キーワード: OCSP, ディジタル証明書, 証明書失効, CRL, 認証プロトコル, LDAP, SNMP