ホーム > 情報処理安全確保支援士試験 > 2019年 秋期
情報処理安全確保支援士試験 2019年 秋期 午前2 問06
X.509 における CRL (Certificate Revocation List)に関する記述のうち,適切なものはどれか。
ア:PKI の利用者は,認証局の公開鍵が Web ブラウザに組み込まれていれば,CRL を参照しなくてもよい。
イ:認証局は,発行した全てのディジタル証明書の有効期限を CRLに記載する。
ウ:認証局は,発行したディジタル証明書のうち失効したものについては,シリアル番号を失効後1年間 CRLに記載するよう義務付けられている。
エ:認証局は,有効期限内のディジタル証明書のシリアル番号を CRL に記載することがある。(正解)
解説
X.509 における CRL (Certificate Revocation List)に関する記述【午前2 解説】
要点まとめ
- 結論:CRLは認証局が失効した証明書のシリアル番号をリスト化し、利用者はこれを参照して証明書の有効性を確認する必要があります。
- 根拠:X.509規格では、CRLは失効証明書の一覧を提供し、有効期限内の証明書の失効情報を管理します。
- 差がつくポイント:CRLは失効証明書の情報のみを含み、有効な証明書全てを記載するわけではなく、公開鍵の組み込みだけで失効確認が不要になるわけではありません。
正解の理由
選択肢エは「認証局は、有効期限内のディジタル証明書のシリアル番号をCRLに記載することがある」と述べています。これは正しいです。CRLは失効した証明書のシリアル番号をリスト化するものであり、失効した証明書は有効期限内であってもCRLに記載されます。つまり、有効期限が切れていなくても失効した証明書はCRLに含まれ、利用者はこれを参照して証明書の信頼性を判断します。
よくある誤解
CRLはすべての証明書の有効期限を管理するものではなく、失効した証明書のみをリストアップします。公開鍵がブラウザに組み込まれていれば失効確認が不要というのも誤りです。
解法ステップ
- CRLの役割を理解する(失効証明書のリストであること)。
- 各選択肢の記述がCRLの役割に合致しているかを検証する。
- 「有効期限内の失効証明書がCRLに記載される」という点に注目する。
- 誤った選択肢はCRLの内容や利用方法の誤解に基づくものと判断する。
- 正しい選択肢を選ぶ。
選択肢別の誤答解説
- ア: 認証局の公開鍵がブラウザに組み込まれていても、証明書の失効情報はCRLやOCSPで確認する必要があり、CRL参照不要は誤りです。
- イ: CRLには失効した証明書のシリアル番号のみが記載され、有効期限は記載しません。
- ウ: 失効証明書のシリアル番号をCRLに記載する期間の具体的な義務は規格で定められておらず、「失効後1年間」という記述は誤りです。
- エ: 有効期限内の失効証明書はCRLに記載されるため、正しい記述です。
補足コラム
CRLはPKIにおける重要な失効管理手段の一つで、証明書の失効情報を定期的に配布します。近年はリアルタイムで失効確認が可能なOCSP(Online Certificate Status Protocol)が普及していますが、CRLは依然として多くの環境で利用されています。CRLの更新頻度や配布方法は運用ポリシーによって異なります。
FAQ
Q: CRLとOCSPの違いは何ですか?
A: CRLは失効証明書の一覧をまとめて配布する方式で、OCSPは個別の証明書の失効状態をリアルタイムで問い合わせる方式です。
A: CRLは失効証明書の一覧をまとめて配布する方式で、OCSPは個別の証明書の失効状態をリアルタイムで問い合わせる方式です。
Q: 公開鍵がブラウザに組み込まれていればCRLは不要ですか?
A: いいえ。公開鍵は認証局の正当性を検証するためのもので、証明書の失効状態はCRLやOCSPで確認する必要があります。
A: いいえ。公開鍵は認証局の正当性を検証するためのもので、証明書の失効状態はCRLやOCSPで確認する必要があります。
関連キーワード: X.509, CRL, 証明書失効, PKI, デジタル証明書, 認証局, OCSP, 公開鍵インフラ