情報処理安全確保支援士 2011年 春期 午前2 問06
問題文
X.509におけるCRL(Certificate Revocation List)の運用を説明したものはどれか。
選択肢
ア:PKIの利用者は、認証局の公開鍵がブラウザに組み込まれていれば,CRLを参照しなくてもよい。
イ:認証局は,X.509によって1年に1回のCRL発行が義務付けられている。
ウ:認証局は、ディジタル証明書を有効期限内にCRLに登録することがある。(正解)
エ:認証局は、発行したすべてのディジタル証明書の有効期限をCRLに登録する。
X.509におけるCRL(Certificate Revocation List)の運用【午前2 解説】
要点まとめ
- 結論:認証局は有効期限内に失効した証明書をCRLに登録し、利用者に失効情報を提供します。
- 根拠:CRLは証明書の失効情報を一覧化し、信頼性を維持するために定期的に更新されます。
- 差がつくポイント:CRLは有効期限内の失効証明書のみを登録し、全証明書や期限切れ証明書は含まれません。
正解の理由
選択肢ウは「認証局は、ディジタル証明書を有効期限内にCRLに登録することがある」と述べています。これは正確です。CRLは失効した証明書の一覧であり、有効期限内に失効した証明書のみを登録します。期限切れの証明書は失効リストに含める必要がなく、またCRLは失効情報を利用者に提供して証明書の信頼性を確保する役割を持ちます。
よくある誤解
CRLはすべての証明書をリスト化するわけではなく、失効した証明書のみを対象とします。期限切れ証明書はCRLに登録しません。
解法ステップ
- CRLの目的を理解する(失効証明書の一覧提供)。
- CRLに登録される証明書の条件を確認(有効期限内に失効したもの)。
- 選択肢の内容とCRLの運用ルールを照合する。
- 誤った記述(全証明書登録や発行頻度の誤り)を除外する。
- 正しい記述を選択する。
選択肢別の誤答解説
- ア: 認証局の公開鍵がブラウザに組み込まれていても、失効情報確認のためCRL参照は必要です。
- イ: X.509でCRL発行の頻度は規定されておらず、1年に1回の義務はありません。
- ウ: 正解。失効した証明書を有効期限内にCRLに登録します。
- エ: CRLには失効した証明書のみ登録し、有効期限切れのすべての証明書を登録することはありません。
補足コラム
CRLは認証局が発行し、失効した証明書のシリアル番号を一覧化したファイルです。利用者はCRLを参照して証明書の有効性を確認し、不正利用を防止します。近年はCRLの代わりにOCSP(Online Certificate Status Protocol)を用いることも増えています。
FAQ
Q: CRLはどのくらいの頻度で更新されますか?
A: 更新頻度は認証局によって異なり、数時間から数日単位で更新されることが多いです。
A: 更新頻度は認証局によって異なり、数時間から数日単位で更新されることが多いです。
Q: 失効証明書がCRLに登録されない場合はどうなりますか?
A: 利用者は失効情報を得られず、失効証明書を誤って信頼してしまうリスクがあります。
A: 利用者は失効情報を得られず、失効証明書を誤って信頼してしまうリスクがあります。
関連キーワード: X.509, CRL, 証明書失効、認証局、PKI, デジタル証明書、OCSP
\ せっかくなら /
情報処理安全確保支援士を
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!