ホーム > システムアーキテクト試験 > 2024年
システムアーキテクト試験 2024年 午前2 問19
デジタル証明書が失効しているかどうかをオンラインで確認するためのプロトコルはどれか。
ア:CHAP
イ:LDAP
ウ:OCSP(正解)
エ:SNMP
解説
デジタル証明書の失効確認に使われるプロトコルはどれか【午前2 解説】
要点まとめ
- 結論:デジタル証明書の失効をオンラインで確認するにはOCSPが用いられます。
- 根拠:OCSPは証明書の有効性をリアルタイムで問い合わせるためのプロトコルであり、失効情報を即座に取得可能です。
- 差がつくポイント:CRLとの違いや、他選択肢の用途を正確に理解し、OCSPが証明書失効確認専用であることを押さえることが重要です。
正解の理由
デジタル証明書の失効情報をオンラインで確認するための標準的なプロトコルはOCSP(Online Certificate Status Protocol)です。OCSPはクライアントが証明書の状態をリアルタイムで問い合わせ、発行元の認証局から「有効」「失効」「不明」などの応答を受け取ります。これにより、証明書の失効を即座に検知でき、セキュリティを高めることが可能です。
よくある誤解
LDAPはディレクトリサービスのプロトコルであり、証明書の失効確認には使いません。CHAPは認証プロトコル、SNMPはネットワーク管理用のプロトコルであり、証明書の状態確認とは無関係です。
解法ステップ
- 問題文から「デジタル証明書の失効をオンラインで確認」とあることを確認する。
- 各選択肢のプロトコルの用途を整理する。
- OCSPが証明書の失効状態をリアルタイムで問い合わせるプロトコルであることを思い出す。
- 他の選択肢が証明書失効確認に適さないことを確認し、OCSPを選択する。
選択肢別の誤答解説
- ア: CHAP
認証プロトコルであり、証明書の失効確認には使いません。 - イ: LDAP
ディレクトリサービス用のプロトコルで、証明書の失効情報の問い合わせには適しません。 - ウ: OCSP
証明書の失効状態をオンラインでリアルタイムに確認するための標準プロトコルです。 - エ: SNMP
ネットワーク機器の管理・監視用プロトコルであり、証明書の失効確認とは無関係です。
補足コラム
証明書の失効確認にはOCSPのほかにCRL(Certificate Revocation List)もあります。CRLは失効証明書の一覧を定期的に配布する方式で、リアルタイム性に劣ります。OCSPはこれを補完し、より迅速な失効確認を可能にしています。セキュリティの観点からはOCSP Staplingという技術もあり、サーバーがOCSP応答をキャッシュしてクライアントに提供することで通信の効率化を図ります。
FAQ
Q: OCSPとCRLの違いは何ですか?
A: CRLは失効証明書の一覧をまとめて配布する方式で、更新頻度が低いためリアルタイム性に欠けます。OCSPは個別の証明書の状態をリアルタイムで問い合わせる方式です。
A: CRLは失効証明書の一覧をまとめて配布する方式で、更新頻度が低いためリアルタイム性に欠けます。OCSPは個別の証明書の状態をリアルタイムで問い合わせる方式です。
Q: OCSP Staplingとは何ですか?
A: サーバーがOCSP応答を事前に取得・キャッシュし、クライアントに提供することで、通信の遅延を減らし効率的に失効確認を行う技術です。
A: サーバーがOCSP応答を事前に取得・キャッシュし、クライアントに提供することで、通信の遅延を減らし効率的に失効確認を行う技術です。
関連キーワード: OCSP, デジタル証明書, 証明書失効確認, CRL, 認証局, セキュリティプロトコル