ホーム > 情報処理安全確保支援士試験 > 2011年 春期
情報処理安全確保支援士試験 2011年 春期 午前2 問06
X.509におけるCRL(Certificate Revocation List)の運用を説明したものはどれか。
ア:PKIの利用者は,認証局の公開鍵がブラウザに組み込まれていれば,CRLを参照しなくてもよい。
イ:認証局は,X.509によって1年に1回のCRL発行が義務付けられている。
ウ:認証局は,ディジタル証明書を有効期限内にCRLに登録することがある。(正解)
エ:認証局は,発行したすべてのディジタル証明書の有効期限をCRLに登録する。
解説
X.509におけるCRL(Certificate Revocation List)は、認証局(CA)が発行する証明書失効リストのことです。これは、何らかの理由で信頼できなくなった証明書(例えば秘密鍵が漏洩した場合など)をリスト化し、その証明書を無効として扱うために使われます。
選択肢の解説
-
ア:PKIの利用者は,認証局の公開鍵がブラウザに組み込まれていれば,CRLを参照しなくてもよい。
→ 誤りです。認証局の公開鍵がブラウザに組み込まれていても、それは認証局からの証明書を検証するための基礎情報です。CRLは証明書の有効性を判断するために定期的に参照する必要があります。つまり、証明書が失効していないか確認しないと、失効した証明書を誤って信用してしまう可能性があります。 -
イ:認証局は,X.509によって1年に1回のCRL発行が義務付けられている。
→ 誤りです。X.509規格でCRLの発行間隔が具体的に義務付けられているわけではありません。一般的にCRLは失効情報を迅速に提供するため、もっと頻繁に発行されることが望ましいです。遅すぎる発行はセキュリティリスクになります。 -
ウ:認証局は,ディジタル証明書を有効期限内にCRLに登録することがある。
→ 正解です。証明書の「失効(revocation)」は、有効期限が切れる前でも行われます。例えば、秘密鍵の漏洩や不正利用などの理由で、有効期限中に信用できなくなった証明書をCRLに登録して失効扱いにします。
証明書の失効は「有効期限終了」とは別の概念で、失効された証明書は有効期限内でも使用してはいけません。 -
エ:認証局は,発行したすべてのディジタル証明書の有効期限をCRLに登録する。
→ 誤りです。CRLには有効期限の情報を登録するのではなく、「失効した証明書の識別情報(シリアル番号など)」をリストとして登録します。全証明書の有効期限を載せるのはCRLの役割ではありません。
まとめ
CRLは、認証局が「有効期限内でも信頼できなくなった証明書」を登録し、利用者側に知らせるための仕組みです。失効情報を確認することは、安全な通信を行うために非常に重要なプロセスです。
したがって、正解は「ウ」の「認証局は、ディジタル証明書を有効期限内にCRLに登録することがある」です。これにより、失効済みの証明書を誤って使ってしまうリスクを避けられます。