ホーム > システムアーキテクト試験 > 2021年
システムアーキテクト試験 2021年 午前2 問18
ディジタル証明書が失効しているかどうかをオンラインで確認するためのプロトコルはどれか。
ア:CHAP
イ:LDAP
ウ:OCSP(正解)
エ:SNMP
解説
ディジタル証明書の失効確認に使われるプロトコルはどれか【午前2 解説】
要点まとめ
- 結論:ディジタル証明書の失効をオンラインで確認するにはOCSPが用いられます。
- 根拠:OCSPは証明書の有効性をリアルタイムで問い合わせるためのプロトコルで、失効情報を即座に取得可能です。
- 差がつくポイント:CRLと異なり、OCSPは証明書単位での確認ができ、通信量が少なく応答速度が速い点を押さえましょう。
正解の理由
OCSP(Online Certificate Status Protocol)は、証明書の失効状態をオンラインで即時に確認するために設計されたプロトコルです。証明書の有効性を問い合わせるクライアントがOCSPレスポンダーにリクエストを送り、レスポンダーはその証明書が有効か失効しているかを返します。これにより、証明書の失効情報をリアルタイムで取得でき、セキュリティを高めることが可能です。
よくある誤解
LDAPはディレクトリサービスのプロトコルであり、証明書の失効確認には使いません。CHAPは認証プロトコル、SNMPはネットワーク管理用のプロトコルです。
解法ステップ
- 問題文の「ディジタル証明書の失効をオンラインで確認」と「プロトコル」に注目する。
- 各選択肢の役割を思い出す。
- CHAPは認証、LDAPはディレクトリ、SNMPは管理用であることを確認。
- OCSPが証明書失効確認のための標準プロトコルであることを知っているか確認。
- ウ(OCSP)を選択する。
選択肢別の誤答解説
- ア: CHAP
認証プロトコルであり、証明書の失効確認とは無関係です。 - イ: LDAP
ディレクトリサービス用のプロトコルで、証明書の失効情報を管理する用途ではありません。 - ウ: OCSP
正解。証明書の失効状態をオンラインで即時に確認できるプロトコルです。 - エ: SNMP
ネットワーク機器の管理・監視用プロトコルであり、証明書の失効確認には使いません。
補足コラム
証明書の失効確認にはOCSPのほかにCRL(Certificate Revocation List)もあります。CRLは失効した証明書の一覧をまとめて配布する方式で、更新頻度が低くリアルタイム性に欠けます。OCSPはこれを補完し、必要な証明書だけを即座に確認できるため、より効率的で安全な運用が可能です。
FAQ
Q: OCSPとCRLの違いは何ですか?
A: CRLは失効証明書の一覧をまとめて配布し、OCSPは個別の証明書の状態をリアルタイムで問い合わせるプロトコルです。
A: CRLは失効証明書の一覧をまとめて配布し、OCSPは個別の証明書の状態をリアルタイムで問い合わせるプロトコルです。
Q: OCSPレスポンダーが応答しない場合はどうなりますか?
A: 通常は証明書の検証が失敗するか、設定によっては失効確認をスキップする場合があります。セキュリティポリシーに依存します。
A: 通常は証明書の検証が失敗するか、設定によっては失効確認をスキップする場合があります。セキュリティポリシーに依存します。
関連キーワード: OCSP, ディジタル証明書, 失効確認, CRL, 証明書失効リスト, セキュリティプロトコル