情報処理安全確保支援士試験 2009年 秋期 午前2 問02
ブラウザがWebサーバとの間でSSLで通信する際,ディジタル証明書に関する警告メッセージが表示される原因となり得るものはどれか。
ア:Webサーバが,SSL通信の暗号化方式として,ハンドシェイク終了後に共通鍵暗号化方式でSSLセッションを開始した。
イ:ブラウザがCRLの妥当性をVAに問い合わせる際に,OCSPやSCVPが用いられた。
ウ:ブラウザがWebサーバのディジタル証明書の検証に成功した後に,WebサーバからSSLセッションを確立した。
エ:ルートCAのディジタル証明書について,Webサーバのディジタル証明書のものがブラウザで保持しているどのものとも一致しなかった。(正解)
解説
ブラウザがWebサーバとの間でSSLで通信する際,ディジタル証明書に関する警告メッセージが表示される原因【午前2 解説】
要点まとめ
- 結論:ルートCAの証明書がブラウザに登録されていないと警告が表示されます。
- 根拠:ブラウザは証明書の信頼性をルートCAまで遡って検証し、一致しなければ警告を出します。
- 差がつくポイント:証明書チェーンの正しい理解と、ルートCA証明書の役割を押さえることが重要です。
正解の理由
選択肢エは「ルートCAのディジタル証明書がブラウザに保持されているものと一致しなかった」ため、信頼できる証明書チェーンが構築できず、警告メッセージが表示されます。ブラウザはWebサーバの証明書を検証する際、最終的にルートCAの証明書が信頼済みであることを確認します。これが一致しないと、証明書の信頼性が保証されず警告が出るのです。
よくある誤解
SSL通信で暗号化方式の違いや検証成功後に警告が出ると思いがちですが、警告は主に証明書の信頼性に関わる問題で発生します。
解法ステップ
- SSL通信における証明書の役割を理解する。
- 証明書の検証はルートCAまでのチェーンで行われることを確認する。
- 警告メッセージは信頼できるルートCA証明書がブラウザにない場合に発生することを知る。
- 選択肢の内容を証明書の検証プロセスに照らし合わせて判断する。
選択肢別の誤答解説ステップ
- ア: 共通鍵暗号化方式でSSLセッションを開始するのは正常な動作であり、警告の原因にはなりません。
- イ: OCSPやSCVPは証明書失効情報の確認手段であり、これが使われたこと自体で警告は発生しません。
- ウ: 証明書検証に成功しSSLセッションが確立されたなら警告は表示されません。
- エ: ルートCA証明書がブラウザに登録されていないため、証明書の信頼性が確認できず警告が表示されます。
補足コラム
SSL/TLS通信では、Webサーバの証明書が信頼できるかどうかをブラウザが検証します。この検証は証明書チェーンを辿り、最終的にルートCAの証明書がブラウザに登録されているかで判断されます。ルートCA証明書が未登録や不一致の場合、警告が表示されユーザに注意を促します。
FAQ
Q: なぜルートCA証明書が重要なのですか?
A: ルートCA証明書は信頼の起点であり、これがなければ証明書チェーン全体の信頼性が保証できません。
A: ルートCA証明書は信頼の起点であり、これがなければ証明書チェーン全体の信頼性が保証できません。
Q: OCSPやCRLは警告の原因になりますか?
A: これらは証明書の失効情報を確認する仕組みであり、正常に機能していれば警告の原因にはなりません。
A: これらは証明書の失効情報を確認する仕組みであり、正常に機能していれば警告の原因にはなりません。
関連キーワード: SSL, ディジタル証明書, ルートCA, 証明書チェーン, OCSP, CRL, 暗号化, Webセキュリティ