ホーム > システムアーキテクト試験 > 2015年
システムアーキテクト試験 2015年 午前2 問24
何らかの理由で有効期間中に失効したディジタル証明書の一覧を示すデータはどれか。
ア:CA
イ:CP
ウ:CPS
エ:CRL(正解)
解説
何らかの理由で有効期間中に失効したディジタル証明書の一覧を示すデータはどれか【午前2 解説】
要点まとめ
- 結論:失効したディジタル証明書の一覧を示すのはCRL(Certificate Revocation List)です。
- 根拠:CRLは認証局(CA)が発行し、有効期間中に失効した証明書のシリアル番号をリスト化して公開します。
- 差がつくポイント:CPやCPSは証明書の運用ルールやポリシー文書であり、失効情報を示すものではありません。
正解の理由
CRLは「Certificate Revocation List」の略で、認証局が発行する失効証明書の一覧表です。証明書の有効期間中に何らかの理由で失効した証明書を特定し、利用者がその証明書を信用しないようにするために用いられます。これにより、失効した証明書を使った不正アクセスやなりすましを防止できます。
よくある誤解
CPやCPSは証明書の運用やポリシーに関する文書であり、失効情報を直接示すものではありません。CAは認証局そのものを指し、一覧データではありません。
解法ステップ
- 問題文の「有効期間中に失効した証明書の一覧」をキーワードとして抽出する。
- 各選択肢の意味を確認する。
- CAは認証局、CPは証明書ポリシー、CPSは証明書発行手順書であることを理解する。
- CRLが失効証明書の一覧であることを知っているか確認する。
- 失効証明書の一覧を示すデータとしてCRLを選択する。
選択肢別の誤答解説
- ア: CA
認証局(Certification Authority)そのものであり、失効証明書の一覧ではありません。 - イ: CP
証明書ポリシー(Certificate Policy)で、証明書の利用ルールを定めた文書です。 - ウ: CPS
証明書発行手順書(Certification Practice Statement)で、証明書の発行・管理方法を記述した文書です。 - エ: CRL
失効した証明書のシリアル番号を一覧化したデータで、正解です。
補足コラム
CRLは定期的に更新され、利用者は証明書の検証時にCRLを参照して失効情報を確認します。近年では、OCSP(Online Certificate Status Protocol)というリアルタイムで証明書の失効状態を確認する仕組みも普及しています。
FAQ
Q: CRLはどのように配布されますか?
A: 通常、認証局のウェブサイトやLDAPサーバーを通じて公開され、利用者がダウンロードして確認します。
A: 通常、認証局のウェブサイトやLDAPサーバーを通じて公開され、利用者がダウンロードして確認します。
Q: CPとCPSの違いは何ですか?
A: CPは証明書の利用ポリシーを示す文書で、CPSは証明書の発行・管理手順を具体的に記述した文書です。
A: CPは証明書の利用ポリシーを示す文書で、CPSは証明書の発行・管理手順を具体的に記述した文書です。
関連キーワード: ディジタル証明書, 失効リスト, CRL, 証明書ポリシー, 認証局, OCSP