ホーム > 情報処理安全確保支援士試験 > 2017年 秋期
情報処理安全確保支援士試験 2017年 秋期 午前2 問01
CRL (Certificate Revocation List) に掲載されるものはどれか。
ア:有効期限切れになったディジタル証明書の公開鍵
イ:有効期限切れになったディジタル証明書のシリアル番号
ウ:有効期限内に失効したディジタル証明書の公開鍵
エ:有効期限内に失効したディジタル証明書のシリアル番号(正解)
解説
CRL (Certificate Revocation List) に掲載されるものはどれか【午前2 解説】
要点まとめ
- 結論:CRLには「有効期限内に失効したディジタル証明書のシリアル番号」が掲載されます。
- 根拠:CRLは証明書の失効情報を管理し、失効証明書の識別にシリアル番号を用いるためです。
- 差がつくポイント:公開鍵ではなくシリアル番号が掲載される点と、有効期限内の失効証明書のみが対象である点を正確に理解しましょう。
正解の理由
CRL(Certificate Revocation List)は、認証局(CA)が発行した証明書のうち、何らかの理由で失効(取り消し)された証明書の一覧を示します。この一覧には、失効した証明書を特定するための「シリアル番号」が記載されます。公開鍵そのものはCRLに含まれません。また、有効期限が切れた証明書は自然に無効となるため、CRLで管理する必要はありません。したがって、「有効期限内に失効した証明書のシリアル番号」が掲載される選択肢エが正解です。
よくある誤解
CRLに公開鍵が掲載されると誤解されがちですが、実際は証明書の識別子であるシリアル番号のみが記載されます。期限切れ証明書はCRLの対象外です。
解法ステップ
- CRLの役割を理解する(失効証明書の管理)。
- 失効証明書を特定するための情報が何かを確認する(シリアル番号)。
- 有効期限切れ証明書はCRLに載らないことを認識する。
- 選択肢の中から「有効期限内に失効した証明書のシリアル番号」を選ぶ。
選択肢別の誤答解説
- ア: 有効期限切れ証明書の公開鍵はCRLに掲載されません。公開鍵は証明書自体に含まれます。
- イ: 有効期限切れ証明書のシリアル番号はCRLに載りません。期限切れは自然無効で失効とは異なります。
- ウ: 有効期限内に失効した証明書の公開鍵は掲載されません。CRLはシリアル番号を掲載します。
- エ: 有効期限内に失効した証明書のシリアル番号が正しく掲載されます。
補足コラム
CRLはPKI(公開鍵基盤)における重要な失効管理手段の一つです。近年はOCSP(Online Certificate Status Protocol)によるリアルタイム失効確認も普及していますが、CRLは依然として基本的な失効情報提供方法として利用されています。
FAQ
Q: CRLに掲載されるシリアル番号はどのように使われますか?
A: クライアントは証明書のシリアル番号をCRLと照合し、失効していれば接続を拒否します。
A: クライアントは証明書のシリアル番号をCRLと照合し、失効していれば接続を拒否します。
Q: 有効期限切れの証明書はなぜCRLに載らないのですか?
A: 有効期限切れは証明書の自然な無効化であり、失効とは異なるためCRL管理の対象外です。
A: 有効期限切れは証明書の自然な無効化であり、失効とは異なるためCRL管理の対象外です。
関連キーワード: CRL, 証明書失効, シリアル番号, PKI, 公開鍵基盤, OCSP, デジタル証明書