ホーム > 情報処理安全確保支援士試験 > 2012年 秋期
情報処理安全確保支援士試験 2012年 秋期 午前2 問01
特定のCAが発行したCRL(CertificateRevocationList)に関する記述のうち,適切なものはどれか。
ア:CRLには,失効された公開鍵証明書に対応する秘密鍵が登録される。
イ:CRLには、有効期限内の公開鍵証明書のうち破棄されている公開鍵証明書と破棄された日時の対応が提示される。(正解)
ウ:CRLは、鍵の漏えい、破棄申請の状況をリアルタイムに反映するプロトコルである。
エ:有効期限切れで無効になった公開鍵証明書は,所有者が新たな公開鍵証明書を取得するまでの間,CRLに登録される。
解説
特定のCAが発行したCRL(Certificate Revocation List)に関する記述のうち,適切なものはどれか。【午前2 解説】
要点まとめ
- 結論:CRLには失効した公開鍵証明書の一覧と失効日時が記載されているため、イが正解です。
- 根拠:CRLは証明書失効情報をまとめたリストであり、秘密鍵や有効期限切れ証明書は登録されません。
- 差がつくポイント:CRLの役割と内容を正確に理解し、失効証明書の管理方法を区別できることが重要です。
正解の理由
イは「CRLには、有効期限内の公開鍵証明書のうち破棄されている公開鍵証明書と破棄された日時の対応が提示される」と述べています。これはCRLの本質的な役割に合致しています。CRLは証明書失効リストであり、失効された証明書のシリアル番号と失効日時を含み、証明書の有効性を検証する際に参照されます。
よくある誤解
CRLに秘密鍵や有効期限切れの証明書が登録されると誤解されがちですが、CRLはあくまで「失効」された証明書の情報を管理します。リアルタイム更新を行うプロトコルではありません。
解法ステップ
- CRLの正式な定義と役割を確認する。
- 各選択肢の内容がCRLの役割に合致しているか検証する。
- 秘密鍵や有効期限切れ証明書の扱いについて正しい知識を持つ。
- リアルタイム更新の有無を理解し、誤った説明を排除する。
- 最も正確にCRLの機能を説明している選択肢を選ぶ。
選択肢別の誤答解説
- ア: CRLには秘密鍵は登録されません。秘密鍵は公開鍵証明書の一部ではなく、失効情報の対象外です。
- イ: 正解。失効された証明書のシリアル番号と失効日時が記載されます。
- ウ: CRLはリスト形式で定期的に発行されるものであり、リアルタイムに更新されるプロトコルではありません。
- エ: 有効期限切れの証明書は自動的に無効となり、CRLに登録される対象ではありません。
補足コラム
CRLはPKI(公開鍵基盤)における重要な要素で、証明書の失効情報を集中管理します。失効情報の即時反映が必要な場合はOCSP(Online Certificate Status Protocol)が利用されます。CRLは定期的に配布されるため、最新の失効情報を得るには更新頻度に注意が必要です。
FAQ
Q: CRLはどのくらいの頻度で更新されますか?
A: 一般的には数時間から数日単位で更新されますが、運用ポリシーにより異なります。
A: 一般的には数時間から数日単位で更新されますが、運用ポリシーにより異なります。
Q: 有効期限切れの証明書はCRLに登録されますか?
A: いいえ。有効期限切れの証明書は自動的に無効となり、CRLには登録されません。
A: いいえ。有効期限切れの証明書は自動的に無効となり、CRLには登録されません。
Q: CRLとOCSPの違いは何ですか?
A: CRLは失効証明書のリストを定期的に配布する方式、OCSPはリアルタイムで証明書の状態を問い合わせる方式です。
A: CRLは失効証明書のリストを定期的に配布する方式、OCSPはリアルタイムで証明書の状態を問い合わせる方式です。
関連キーワード: CRL, 証明書失効リスト, 公開鍵証明書, PKI, OCSP, 証明書失効, 秘密鍵, 有効期限