ホーム > 情報処理安全確保支援士試験 > 2015年 秋期
情報処理安全確保支援士試験 2015年 秋期 午前2 問02
特定の認証局が発行したCRLに関する記述のうち,適切なものはどれか。
ア:CRLには,失効したディジタル証明書に対応する秘密鍵が登録される。
イ:CRLには,有効期限内のディジタル証明書のうち失効したディジタル証明書と失効した日時の対応が提示される。(正解)
ウ:CRLは、鍵の漏えい、破棄申請の状況をリアルタイムに反映するプロトコルである。
エ:有効期限切れで失効したディジタル証明書は,所有者が新たなディジタル証明書を取得するまでの間,CRLに登録される。
解説
特定の認証局が発行したCRLに関する記述のうち,適切なものはどれか。【午前2 解説】
要点まとめ
- 結論:CRL(証明書失効リスト)には失効した証明書の識別情報と失効日時が記載されている。
- 根拠:CRLは認証局が発行し、失効した証明書の一覧を提供して証明書の有効性を確認するためのものだからである。
- 差がつくポイント:CRLに秘密鍵や有効期限切れの証明書は登録されず、リアルタイム更新ではない点を正確に理解することが重要。
正解の理由
選択肢イは「CRLには、有効期限内のディジタル証明書のうち失効した証明書と失効日時の対応が提示される」と述べています。
これはCRLの本質を正しく表現しています。CRLは認証局が発行し、まだ有効期限内であっても失効した証明書のシリアル番号と失効日時をリスト化して公開します。これにより利用者は証明書の失効状況を確認できます。
これはCRLの本質を正しく表現しています。CRLは認証局が発行し、まだ有効期限内であっても失効した証明書のシリアル番号と失効日時をリスト化して公開します。これにより利用者は証明書の失効状況を確認できます。
よくある誤解
CRLは失効した証明書の秘密鍵を登録するものではありません。また、リアルタイムに更新されるプロトコルではなく、定期的に発行されるリストです。
解法ステップ
- CRLの役割を理解する(失効証明書の一覧を提供)
- 各選択肢の内容をCRLの定義と照らし合わせる
- 秘密鍵の登録やリアルタイム更新の記述が誤りであることを確認
- 有効期限内の失効証明書と失効日時の対応が正しいことを判断
- 選択肢イを正解とする
選択肢別の誤答解説
- ア: 秘密鍵は証明書の所有者が管理し、CRLに登録されることはない。
- イ: 正解。失効した証明書のシリアル番号と失効日時が記載される。
- ウ: CRLはプロトコルではなく、定期的に発行されるリストでありリアルタイム反映はしない。
- エ: 有効期限切れの証明書は失効とは異なり、CRLに登録されない。
補足コラム
CRLはPKI(公開鍵基盤)における重要な要素で、証明書の失効情報を提供します。近年はOCSP(オンライン証明書状態プロトコル)というリアルタイムで証明書の状態を確認できる仕組みも普及していますが、CRLは依然として広く利用されています。
FAQ
Q: CRLはどのくらいの頻度で更新されますか?
A: 認証局によって異なりますが、数時間から数日単位で定期的に発行されます。
A: 認証局によって異なりますが、数時間から数日単位で定期的に発行されます。
Q: 有効期限切れの証明書はCRLに登録されますか?
A: いいえ。有効期限切れは失効とは異なり、CRLには登録されません。
A: いいえ。有効期限切れは失効とは異なり、CRLには登録されません。
関連キーワード: CRL, 証明書失効リスト, PKI, ディジタル証明書, 認証局, OCSP