ホーム > 情報処理安全確保支援士試験 > 2021年 秋期
情報処理安全確保支援士試験 2021年 秋期 午前2 問08
X.509におけるCRL(Certificate Revocation List)に関する記述のうち,適切なものはどれか。
ア:PKIの利用者のWebブラウザは,認証局の公開鍵がWebブラウザに組み込まれていれば,CRLを参照しなくてもよい。
イ:RFC5280では,認証局は,発行したディジタル証明書のうち失効したものについては,シリアル番号を失効後1年間CRLに記載するよう義務付けている。
ウ:認証局は,発行した全てのディジタル証明書の有効期限をCRLに記載する。
エ:認証局は,有効期限内のディジタル証明書のシリアル番号をCRLに記載することがある。(正解)
解説
X.509におけるCRL(Certificate Revocation List)に関する記述【午前2 解説】
要点まとめ
- 結論:CRLは認証局が失効した証明書のシリアル番号をリスト化し、有効期限内の失効証明書を管理します。
- 根拠:RFC5280により、CRLは失効証明書の識別と管理を目的とし、有効期限内の証明書のみ記載されます。
- 差がつくポイント:CRLは失効証明書の一覧であり、有効な証明書や全証明書の有効期限は記載しません。ブラウザがCRLを参照しないのは誤りです。
正解の理由
選択肢エは「認証局は、有効期限内のディジタル証明書のシリアル番号をCRLに記載することがある」と述べています。これは正しいです。CRLは失効した証明書のシリアル番号をリスト化し、失効証明書が有効期限内である限りCRLに記載され続けます。失効後も証明書の有効期限が切れるまではCRLに記載されるため、エの表現が適切です。
よくある誤解
CRLはすべての証明書の情報を含むわけではなく、失効証明書のみを管理します。ブラウザが認証局の公開鍵を持っていればCRL参照不要というのも誤りです。
解法ステップ
- CRLの役割を理解する(失効証明書のリストであること)
- RFC5280のCRLに関する規定を確認する(失効証明書のシリアル番号を記載)
- 各選択肢の内容がCRLの役割と合致しているか検証する
- 有効期限内の失効証明書がCRLに記載される点を押さえる
- 正しい選択肢を選ぶ
選択肢別の誤答解説
- ア:認証局の公開鍵がブラウザに組み込まれていても、失効証明書の確認にはCRLやOCSPの参照が必要です。
- イ:RFC5280は失効証明書のCRL掲載期間を明確に1年間とは規定していません。掲載期間は認証局のポリシーによります。
- ウ:CRLは失効証明書のみを記載し、全証明書の有効期限を記載することはありません。
- エ:正解。失効した証明書のシリアル番号は有効期限内であればCRLに記載されます。
補足コラム
CRLはPKIにおける失効管理の基本的な仕組みであり、証明書の失効情報を定期的に配布します。近年はCRLの代替としてOCSP(Online Certificate Status Protocol)が普及し、リアルタイムで失効情報を確認可能です。CRLはファイルサイズが大きくなる欠点があり、効率的な失効管理のためにOCSPが推奨される場合もあります。
FAQ
Q: CRLはどのくらいの頻度で更新されますか?
A: 認証局のポリシーによりますが、一般的には数時間から数日単位で更新されます。
A: 認証局のポリシーによりますが、一般的には数時間から数日単位で更新されます。
Q: CRLに記載される証明書はすべて失効していますか?
A: はい、CRLには失効した証明書のシリアル番号のみが記載されます。
A: はい、CRLには失効した証明書のシリアル番号のみが記載されます。
Q: ブラウザはCRLを必ず参照しなければなりませんか?
A: 多くのブラウザはCRLやOCSPを利用して失効情報を確認します。公開鍵だけでは失効確認はできません。
A: 多くのブラウザはCRLやOCSPを利用して失効情報を確認します。公開鍵だけでは失効確認はできません。
関連キーワード: X.509, CRL, 証明書失効, RFC5280, PKI, OCSP, デジタル証明書