ホーム > 情報処理安全確保支援士試験 > 2016年 秋期
情報処理安全確保支援士試験 2016年 秋期 午前2 問07
X.509におけるCRL(Certificate Revocation List)についての説明のうち、適切なものはどれか。
ア:PKIの利用者は認証局の公開鍵がWebブラウザに組み込まれていればCRLを参照しなくてもよい。
イ:認証局は発行した全てのディジタル証明書の有効期限をCRLに登録する。
ウ:認証局は発行したディジタル証明書のうち失効したものは失効後1年間CRLに登録するよう義務付けられている。
エ:認証局は有効期限内のディジタル証明書をCRLに登録することがある。(正解)
解説
X.509におけるCRL(Certificate Revocation List)についての説明【午前2 解説】
要点まとめ
- 結論:CRLは認証局が失効した証明書をリスト化し、有効期限内の証明書も登録されることがある。
- 根拠:CRLは証明書の失効情報を提供し、利用者は証明書の有効性を確認するために参照する。
- 差がつくポイント:CRLは失効証明書の一覧であり、有効期限切れの証明書は通常リストに含まれないが、有効期限内の失効証明書は登録される点を理解すること。
正解の理由
選択肢エは「認証局は有効期限内のディジタル証明書をCRLに登録することがある」と述べています。これは正しいです。CRLは失効した証明書の一覧であり、失効した証明書は有効期限内であってもCRLに登録されます。逆に有効期限が切れた証明書は失効状態であってもCRLに登録されません。したがって、失効証明書の中で有効期限内のものがCRLに含まれることは正しい説明です。
よくある誤解
CRLはすべての証明書の有効期限を管理するものではなく、失効した証明書のみをリストアップします。認証局の公開鍵が組み込まれているだけでCRL参照が不要になるわけではありません。
解法ステップ
- CRLの役割を理解する(失効証明書の一覧を提供)。
- 有効期限と失効の違いを区別する。
- 選択肢の内容がCRLの定義に合致しているか確認する。
- 有効期限内の失効証明書がCRLに登録されることを知る。
- 他の選択肢の誤りを検証し、正しいものを選ぶ。
選択肢別の誤答解説
- ア: 認証局の公開鍵がブラウザに組み込まれていても、証明書の失効情報確認のためCRL参照は必要です。
- イ: CRLには失効した証明書のみ登録され、有効期限は関係ありません。全証明書の有効期限を登録することはありません。
- ウ: 失効証明書のCRL登録期間に1年の義務はなく、CRLは失効情報を最新に保つため定期的に更新されます。
- エ: 有効期限内の失効証明書はCRLに登録されるため正しい説明です。
補足コラム
CRLはPKIにおける重要な失効管理手段の一つですが、リアルタイム性に欠けるためOCSP(Online Certificate Status Protocol)などの代替技術も利用されています。CRLは定期的に更新され、利用者は最新のCRLを取得して証明書の失効を確認します。
FAQ
Q: CRLはすべての証明書の情報を含みますか?
A: いいえ、CRLには失効した証明書のみが含まれます。
A: いいえ、CRLには失効した証明書のみが含まれます。
Q: 認証局の公開鍵があればCRLを参照しなくてもよいですか?
A: いいえ、公開鍵は証明書の検証に使いますが、失効情報の確認にはCRLやOCSPの参照が必要です。
A: いいえ、公開鍵は証明書の検証に使いますが、失効情報の確認にはCRLやOCSPの参照が必要です。
関連キーワード: X.509, CRL, 証明書失効, PKI, デジタル証明書, 認証局, OCSP