ホーム > 情報処理安全確保支援士試験 > 2015年 春期
情報処理安全確保支援士試験 2015年 春期 午前2 問06
X.509におけるCRL(Certificate Revocation List)についての説明のうち、適切なものはどれか。
ア:PKIの利用者は,認証局の公開鍵がWebブラウザに組み込まれていれば,CRLを参照しなくてもよい。
イ:認証局は,発行した全てのディジタル証明書の有効期限をCRLに登録する。
ウ:認証局は,発行したディジタル証明書のうち,失効したものは,失効後1年間CRLに登録するよう義務付けられている。
エ:認証局は,有効期限内のディジタル証明書をCRLに登録することがある。(正解)
解説
X.509におけるCRL(Certificate Revocation List)についての説明【午前2 解説】
要点まとめ
- 結論:CRLは認証局が失効した証明書をリスト化し、有効期限内の失効証明書を登録するものです。
- 根拠:CRLは証明書の失効情報を提供し、利用者が証明書の有効性を確認できる仕組みだからです。
- 差がつくポイント:有効期限内の証明書のみがCRLに登録される点と、全証明書や公開鍵の有無で判断しない点を理解することが重要です。
正解の理由
選択肢エは「認証局は、有効期限内のディジタル証明書をCRLに登録することがある」と述べています。これは正しいです。CRLは失効した証明書の一覧であり、失効した証明書が有効期限内であればCRLに登録されます。失効後も証明書の有効期限が切れるまではCRLに掲載され続け、利用者は失効情報を確認できます。
よくある誤解
CRLは全ての証明書の有効期限を管理するものではなく、失効した証明書のみをリスト化します。公開鍵が組み込まれているだけでCRL参照が不要になるわけではありません。
解法ステップ
- CRLの役割を理解する(失効証明書のリスト)。
- 選択肢の内容がCRLの定義に合致しているか確認。
- 「全証明書の有効期限を登録」や「公開鍵があればCRL不要」など誤った認識を排除。
- 有効期限内の失効証明書がCRLに登録されることを確認。
- 正しい選択肢を選ぶ。
選択肢別の誤答解説
- ア: 認証局の公開鍵がブラウザに組み込まれていても、証明書の失効情報はCRLやOCSPで確認する必要があります。
- イ: CRLには失効した証明書のみが登録され、有効期限の情報は含まれません。
- ウ: 失効証明書のCRL掲載期間は規定されておらず、1年間の義務付けはありません。
- エ: 有効期限内の失効証明書がCRLに登録されるため正しい。
補足コラム
CRLはX.509証明書の失効管理に用いられ、証明書失効情報を定期的に配布します。近年はCRLの代わりにOCSP(Online Certificate Status Protocol)がリアルタイムで失効情報を提供する方式も普及しています。
FAQ
Q: CRLはすべての証明書の情報を含みますか?
A: いいえ、CRLには失効した証明書のみが含まれます。
A: いいえ、CRLには失効した証明書のみが含まれます。
Q: 公開鍵がブラウザに組み込まれていればCRLは不要ですか?
A: いいえ、公開鍵は認証局の検証に使いますが、失効情報はCRLやOCSPで確認する必要があります。
A: いいえ、公開鍵は認証局の検証に使いますが、失効情報はCRLやOCSPで確認する必要があります。
関連キーワード: X.509, CRL, 証明書失効, 認証局, PKI, OCSP, デジタル証明書