ホーム > 情報処理安全確保支援士試験 > 2019年 春期
情報処理安全確保支援士試験 2019年 春期 午前2 問01
CRL (Certificate Revocation List) に掲載されるものはどれか。
ア:有効期限切れになったディジタル証明書の公開鍵
イ:有効期限切れになったディジタル証明書のシリアル番号
ウ:有効期限内に失効したディジタル証明書の公開鍵
エ:有効期限内に失効したディジタル証明書のシリアル番号(正解)
解説
CRL (Certificate Revocation List) に掲載されるものはどれか【午前2 解説】
要点まとめ
- 結論:CRLには「有効期限内に失効した証明書のシリアル番号」が掲載されます。
- 根拠:CRLは失効証明書の一覧を示し、証明書の有効性を検証するために使われるため、シリアル番号で管理されます。
- 差がつくポイント:公開鍵ではなくシリアル番号が掲載される点と、有効期限内に失効した証明書のみが対象である点を正確に理解することが重要です。
正解の理由
CRL(Certificate Revocation List)は、認証局(CA)が発行した証明書のうち、何らかの理由で失効(リボーク)された証明書のシリアル番号を一覧化したものです。失効証明書は有効期限内であっても無効とみなされるため、検証時にCRLを参照して失効状況を確認します。公開鍵自体は証明書の一部ですが、CRLには証明書を特定するためのシリアル番号のみが掲載されます。したがって、「有効期限内に失効した証明書のシリアル番号」が正解です。
よくある誤解
CRLに掲載されるのは公開鍵ではなくシリアル番号であることを混同しやすいです。また、有効期限切れの証明書は失効リストに載らず、単に期限切れとして扱われます。
解法ステップ
- CRLの役割を理解する(失効証明書の一覧を提供)。
- 失効証明書は「有効期限内に失効したもの」であることを確認。
- CRLに掲載される情報は証明書の識別子である「シリアル番号」であることを把握。
- 選択肢の中から「有効期限内に失効した証明書のシリアル番号」を選ぶ。
選択肢別の誤答解説
- ア: 有効期限切れの証明書は失効とは異なり、CRLには掲載されません。また公開鍵はCRLに載りません。
- イ: 有効期限切れの証明書のシリアル番号はCRLに掲載されません。期限切れは失効とは別の状態です。
- ウ: 公開鍵はCRLに掲載されないため誤りです。
- エ: 有効期限内に失効した証明書のシリアル番号が正しく、CRLの目的に合致します。
補足コラム
CRLはPKI(公開鍵基盤)における重要な要素で、証明書の失効情報を提供します。近年はCRLの代わりにOCSP(Online Certificate Status Protocol)を使い、リアルタイムで失効状況を確認する方法も普及しています。CRLは定期的に更新され、失効証明書のシリアル番号と失効日時が記載されています。
FAQ
Q: CRLに掲載される証明書はすべて失効しているのですか?
A: はい。CRLには有効期限内に失効した証明書のシリアル番号のみが掲載されます。期限切れは含まれません。
A: はい。CRLには有効期限内に失効した証明書のシリアル番号のみが掲載されます。期限切れは含まれません。
Q: なぜ公開鍵ではなくシリアル番号が掲載されるのですか?
A: シリアル番号は証明書を一意に識別するための番号であり、公開鍵は証明書の一部ですが識別には使いません。CRLは失効証明書を特定するためにシリアル番号を掲載します。
A: シリアル番号は証明書を一意に識別するための番号であり、公開鍵は証明書の一部ですが識別には使いません。CRLは失効証明書を特定するためにシリアル番号を掲載します。
関連キーワード: CRL, 証明書失効リスト, シリアル番号, PKI, ディジタル証明書, 失効証明書, OCSP, 公開鍵基盤