ホーム > システムアーキテクト試験 > 2011年
システムアーキテクト試験 2011年 午前2 問25
何らかの理由で有効期間中に失効となったディジタル証明書の一覧を示すデータはどれか。
イ:CP
ウ:CPS
エ:CRL(正解)
ア:CA
解説
何らかの理由で有効期間中に失効となったディジタル証明書の一覧を示すデータはどれか【午前2 解説】
要点まとめ
- 結論:失効したディジタル証明書の一覧を示すデータは「CRL(Certificate Revocation List)」である。
- 根拠:CRLは認証局(CA)が発行し、有効期間中に失効した証明書のシリアル番号をリスト化している。
- 差がつくポイント:CPやCPSは証明書の運用ルールやポリシー文書であり、証明書の失効情報を示すものではない点を理解すること。
正解の理由
「CRL」はCertificate Revocation Listの略で、認証局が発行する失効証明書の一覧表です。証明書は有効期間中でも、秘密鍵の漏洩や利用者の情報変更などの理由で失効されることがあります。CRLはそのような失効証明書のシリアル番号をまとめて公開し、利用者が証明書の有効性を確認できるようにしています。したがって、失効証明書の一覧を示すデータとして最も適切なのは「エ: CRL」です。
よくある誤解
CPやCPSは証明書の運用ルールやポリシーを示す文書であり、失効証明書の一覧ではありません。CAは認証局そのものを指し、データの種類ではありません。
解法ステップ
- 問題文の「有効期間中に失効となった証明書の一覧」というキーワードに注目する。
- 各選択肢の意味を確認する。
- CAは認証局、CPは証明書ポリシー、CPSは証明書発行手順書であることを理解する。
- 失効証明書の一覧を示すのはCRLであると判断する。
- 正解は「エ: CRL」と確定する。
選択肢別の誤答解説
- ア: CA
認証局(Certification Authority)そのものであり、失効証明書の一覧ではない。 - イ: CP
証明書ポリシー(Certificate Policy)で、証明書の利用ルールを定めた文書。失効情報は含まない。 - ウ: CPS
証明書発行手順書(Certification Practice Statement)で、CAの運用手順を示す文書。失効証明書の一覧ではない。 - エ: CRL
失効証明書のシリアル番号をまとめたリストで、問題文の条件に合致する正解。
補足コラム
CRLは定期的に更新され、証明書の有効性確認に利用されます。近年はCRLの代わりにOCSP(Online Certificate Status Protocol)というリアルタイムで失効情報を確認できる仕組みも普及しています。OCSPはCRLの欠点であるリストの大きさや更新頻度の問題を解決する技術です。
FAQ
Q: CRLはどのように利用されますか?
A: クライアントは証明書の有効性を確認する際にCRLを参照し、失効していないかをチェックします。
A: クライアントは証明書の有効性を確認する際にCRLを参照し、失効していないかをチェックします。
Q: CPとCPSの違いは何ですか?
A: CPは証明書の利用ポリシーを示す文書で、CPSはCAの具体的な運用手順を記述した文書です。
A: CPは証明書の利用ポリシーを示す文書で、CPSはCAの具体的な運用手順を記述した文書です。
関連キーワード: ディジタル証明書, 失効証明書, CRL, 認証局, 証明書ポリシー, CPS, OCSP