ホーム > 情報処理安全確保支援士試験 > 2024年 春期
情報処理安全確保支援士試験 2024年 春期 午前2 問06
X.509におけるCRLに関する記述のうち、適切なものはどれか。
ア:RFC 5280 では,認証局は,発行したデジタル証明書のうち失効したものについては,シリアル番号を失効後1年間 CRLに記載するよう義務付けている。
イ:Web サイトの利用者の Web ブラウザは, その Web サイトにサーバ証明書を発行した認証局の公開鍵がWeb ブラウザに組み込まれていれば, CRL を参照しなくてもよい。
ウ:認証局は, 発行した全てのデジタル証明書の有効期限を CRLに記載する。
エ:認証局は,有効期限内のデジタル証明書が失効されたとき, そのシリアル番号を CRL に記載する。(正解)
解説
X.509におけるCRLに関する記述のうち、適切なものはどれか【午前2 解説】
要点まとめ
- 結論:認証局は失効した有効期限内の証明書のシリアル番号をCRLに記載することが正しい。
- 根拠:CRL(証明書失効リスト)は失効証明書の識別情報を提供し、証明書の有効性確認に用いられる。
- 差がつくポイント:CRLは失効証明書のシリアル番号を記載し、有効期限全体や失効後の期間を記載するものではない点を理解すること。
正解の理由
選択肢エは「認証局は、有効期限内のデジタル証明書が失効されたとき、そのシリアル番号をCRLに記載する」と述べています。これはX.509標準におけるCRLの基本的な役割に合致しています。CRLは失効した証明書のシリアル番号を一覧化し、利用者が証明書の失効状況を確認できるようにするためのリストです。失効証明書が有効期限内であれば、その情報をCRLに記載し、失効後の証明書はCRLに記載しません。
よくある誤解
CRLは失効証明書の有効期限全体を記載するものではなく、失効した証明書のシリアル番号を記載するリストです。失効後の期間や全証明書の有効期限を記載するわけではありません。
解法ステップ
- CRLの役割を理解する(失効証明書の一覧を提供)。
- 各選択肢の記述がCRLの役割に合致しているかを検証する。
- 「失効した証明書のシリアル番号を記載する」という基本を押さえる。
- 失効後の期間や全証明書の有効期限を記載するという誤った記述を除外する。
- 正しい記述である選択肢エを選ぶ。
選択肢別の誤答解説
- ア:RFC 5280では失効証明書のシリアル番号をCRLに記載する義務はあるが、「失効後1年間」という期間の規定は存在しない。
- イ:Webブラウザは認証局の公開鍵が組み込まれていても、証明書の失効確認のためにCRLやOCSPを参照する必要がある。
- ウ:CRLは失効証明書のシリアル番号を記載するものであり、全ての証明書の有効期限を記載するものではない。
- エ:正解。失効された有効期限内の証明書のシリアル番号をCRLに記載するのが正しい。
補足コラム
CRL(Certificate Revocation List)は認証局が発行し、失効した証明書のシリアル番号を一覧化したリストです。これにより、利用者は証明書の有効性を検証できます。近年はCRLの代わりにOCSP(Online Certificate Status Protocol)が利用されることも多く、リアルタイムで失効情報を確認可能です。
FAQ
Q: CRLはどのくらいの頻度で更新されますか?
A: 認証局によって異なりますが、一般的には数時間から数日単位で更新されます。利用者は最新のCRLを取得して失効情報を確認します。
A: 認証局によって異なりますが、一般的には数時間から数日単位で更新されます。利用者は最新のCRLを取得して失効情報を確認します。
Q: 失効証明書は有効期限が切れた後もCRLに記載されますか?
A: いいえ。失効証明書は有効期限内にCRLに記載されますが、有効期限切れ後はCRLから削除されることが一般的です。
A: いいえ。失効証明書は有効期限内にCRLに記載されますが、有効期限切れ後はCRLから削除されることが一般的です。
関連キーワード: X.509, CRL, 証明書失効リスト, RFC 5280, 認証局, デジタル証明書, OCSP