ホーム > ITストラテジスト試験 > 2024年
ITストラテジスト試験 2024年 午前2 問23
OCSPクライアントからOCSPレスポンダーへのリクエストとそのレスポンスに関す記述のうち、適切なものはどれか。
ア:デジタル証明書全体をOCSPレスポンダーに送信し、そのレスポンスでデジタル証明書の有効性を確認する。
イ:デジタル証明書全体を0CSPレスポンダーに送信し、そのレスポンスとしてタイムスタンプトークンの発行を受ける。
ウ:デジタル証明書のシリアル番号、証明書発行者の識別名(DN)のハッシュ値などをOCSPレスポンダーに送信し、そのレスポンスでデジタル証明書の有効性を確認する。(正解)
エ:デジタル証明書のシリアル番号、証明書発行者の識別名(DN)のハッシュ値などをOCSPレスポンダーに送信し、そのレスポンスとしてタイムスタンプトークンの発行を受ける。
解説
OCSPクライアントからOCSPレスポンダーへのリクエストとレスポンスに関する問題【午前2 解説】
要点まとめ
- 結論:OCSPリクエストは証明書全体ではなく、シリアル番号や発行者識別情報のハッシュ値を送信し、有効性を確認するレスポンスを受け取る。
- 根拠:OCSPは証明書の有効性確認を効率的に行うため、必要最小限の情報を送信し、レスポンダーは署名付きのステータス情報を返す仕組みである。
- 差がつくポイント:証明書全体を送るのではなく、シリアル番号などの識別情報を送る点と、レスポンスがタイムスタンプトークンではなく有効性情報である点を正確に理解すること。
正解の理由
選択肢ウは、OCSPリクエストにおいて「デジタル証明書のシリアル番号」や「証明書発行者の識別名(DN)のハッシュ値」などの必要な識別情報を送信し、そのレスポンスで証明書の有効性を確認するというOCSPの基本的な動作を正しく説明しています。OCSPは証明書全体を送る必要がなく、またレスポンスは証明書の有効性を示すステータス情報であり、タイムスタンプトークンの発行は行いません。
よくある誤解
OCSPリクエストで証明書全体を送ると思い込むことや、レスポンスがタイムスタンプトークンであると誤解しがちです。これらはOCSPの効率性や目的を理解していないことが原因です。
解法ステップ
- OCSPの目的は証明書の有効性確認であることを確認する。
- OCSPリクエストに含まれる情報は証明書全体ではなく、識別に必要な最小限の情報(シリアル番号や発行者DNのハッシュ値)であることを理解する。
- OCSPレスポンスは証明書の有効性ステータスを返すもので、タイムスタンプトークンの発行ではないことを確認する。
- 選択肢の中でこれらの条件を満たすものを選ぶ。
選択肢別の誤答解説
- ア: 証明書全体を送信するのは誤り。OCSPは効率化のために必要最小限の情報のみを送る。
- イ: 証明書全体を送る点と、レスポンスがタイムスタンプトークンである点が誤り。OCSPは有効性情報を返す。
- ウ: 正解。必要な識別情報を送信し、有効性を確認するレスポンスを受け取る。
- エ: 識別情報を送る点は正しいが、レスポンスがタイムスタンプトークンである点が誤り。
補足コラム
OCSP(Online Certificate Status Protocol)は、証明書失効リスト(CRL)をダウンロードする代わりにリアルタイムで証明書の有効性を確認できるプロトコルです。リクエストは軽量で、レスポンスは署名付きのステータス情報を返すため、効率的かつ安全に証明書の状態を確認できます。タイムスタンプトークンは別のプロトコル(TSP)で使用されるもので、OCSPとは役割が異なります。
FAQ
Q: OCSPリクエストに証明書全体を送る必要はありますか?
A: いいえ。OCSPリクエストは証明書のシリアル番号や発行者の識別情報など、必要最小限の情報のみを送信します。
A: いいえ。OCSPリクエストは証明書のシリアル番号や発行者の識別情報など、必要最小限の情報のみを送信します。
Q: OCSPレスポンスは何を返しますか?
A: 証明書の有効性ステータス(有効、失効、未知)を署名付きで返します。タイムスタンプトークンは返しません。
A: 証明書の有効性ステータス(有効、失効、未知)を署名付きで返します。タイムスタンプトークンは返しません。
関連キーワード: OCSP, 証明書有効性確認, シリアル番号, 証明書失効, タイムスタンプトークン, 証明書発行者識別名