ホーム > 情報処理安全確保支援士試験 > 2018年 春期
情報処理安全確保支援士試験 2018年 春期 午前2 問08
X.509 における CRL (Certificate Revocation List) に関する記述のうち,適切なものはどれか。
ア:PKI の利用者は,認証局の公開鍵が Web ブラウザに組み込まれていれば, CRL を参照しなくてもよい。
イ:認証局は, 発行した全てのディジタル証明書の有効期限を CRL に登録する。
ウ:認証局は, 発行したディジタル証明書のうち, 失効したものは, シリアル番号を失効後1年間 CRL に登録するよう義務付けられている。
エ:認証局は, 有効期限内のディジタル証明書のシリアル番号を CRL に登録することがある。(正解)
解説
X.509 における CRL (Certificate Revocation List) に関する記述【午前2 解説】
要点まとめ
- 結論:CRL には失効した証明書のシリアル番号が登録され、有効期限内の証明書の失効情報を管理します。
- 根拠:CRL は認証局が発行した証明書の失効情報を一覧化し、利用者が証明書の有効性を確認するために用います。
- 差がつくポイント:CRL は失効証明書のみを登録し、有効な証明書は登録しない点や、公開鍵の組み込みだけで失効確認が不要になるわけではない点を正確に理解すること。
正解の理由
選択肢エは「認証局は、有効期限内のディジタル証明書のシリアル番号を CRL に登録することがある」と述べています。これは、証明書が有効期限内であっても失効した場合は CRL に登録されるため正しいです。CRL は失効した証明書の一覧であり、有効期限内でも失効した証明書は必ず CRL に含まれます。
よくある誤解
CRL は証明書の有効期限を管理するものではなく、失効情報のみを管理します。公開鍵がブラウザに組み込まれていれば失効確認が不要という誤解も多いです。
解法ステップ
- CRL の役割を理解する(失効証明書の一覧管理)。
- 各選択肢の内容が CRL の役割と合致しているか検証する。
- 「有効期限内でも失効した証明書は CRL に登録される」ことを確認する。
- 誤った選択肢は、CRL の目的や運用ルールと照らし合わせて排除する。
- 正しい選択肢を選ぶ。
選択肢別の誤答解説
- ア: 認証局の公開鍵がブラウザに組み込まれていても、証明書の失効確認(CRL 参照)は必要です。
- イ: CRL には有効期限ではなく、失効した証明書のみ登録されます。
- ウ: 失効証明書のシリアル番号を CRL に登録する期間の規定はありません。
- エ: 有効期限内でも失効した証明書は CRL に登録されるため正しい。
補足コラム
CRL は定期的に認証局から配布され、利用者はこれを参照して証明書の失効状況を確認します。近年は OCSP(Online Certificate Status Protocol)によるリアルタイム失効確認も普及していますが、CRL は依然として重要な失効管理手段です。
FAQ
Q: CRL と OCSP の違いは何ですか?
A: CRL は失効証明書の一覧をまとめて配布する方式、OCSP は個別の証明書の失効状態をリアルタイムで問い合わせる方式です。
A: CRL は失効証明書の一覧をまとめて配布する方式、OCSP は個別の証明書の失効状態をリアルタイムで問い合わせる方式です。
Q: 公開鍵がブラウザに組み込まれていれば CRL は不要ですか?
A: いいえ。公開鍵は認証局の正当性を確認するためのもので、証明書の失効状態は別途 CRL や OCSP で確認する必要があります。
A: いいえ。公開鍵は認証局の正当性を確認するためのもので、証明書の失効状態は別途 CRL や OCSP で確認する必要があります。
関連キーワード: X.509, CRL, 証明書失効, 認証局, PKI, デジタル証明書, OCSP