CRL|科目A-1 令和7年 秋期午前試験 問39

出典:令和7年秋期 午前 問39 分野:セキュリティ / 情報セキュリティ
CRLに関する記述のうち,適切なものはどれか。
  • ア:RFC 5280では,認証局は,発行したデジタル証明書のうち失効したものについては,シリアル番号を失効後1年間CRLに記載するよう義務付けている。
  • イ:Webサイトの利用者のWebブラウザは,そのWebサイトにサーバ証明書を発行した認証局の公開鍵がWebブラウザに組み込まれていれば,CRLを参照しなくてもよい。
  • ウ:認証局は,発行した全てのデジタル証明書の有効期限をCRLに記載する。
  • エ:認証局は,有効期限内のデジタル証明書が失効されたとき,そのシリアル番号をCRLに記載する。
解説

CRLは、Certificate Revocation Listの略で、証明書失効リストと呼ばれます。認証局が発行したデジタル証明書のうち、有効期限内であっても失効された証明書の情報を一覧にしたものです。

証明書は、有効期限内であっても、秘密鍵の漏えい、証明書の記載内容の変更、証明書利用者の資格喪失などによって失効されることがあります。

CRLには、失効した証明書を識別するために、証明書のシリアル番号などが記載されます。利用者側はCRLを確認することで、その証明書が現在も信頼できるかどうかを判断できます。

したがって、が適切です。

❌他選択肢が誤りの理由
ア:RFC 5280では,認証局は,発行したデジタル証明書のうち失効したものについては,シリアル番号を失効後1年間CRLに記載するよう義務付けている。
⇒CRLには失効した証明書の情報が記載されますが、「失効後1年間記載する」といった固定期間を義務付ける説明ではありません。証明書の有効期限や運用方針に応じて管理されるものであり、この記述は不適切です。
イ:Webサイトの利用者のWebブラウザは,そのWebサイトにサーバ証明書を発行した認証局の公開鍵がWebブラウザに組み込まれていれば,CRLを参照しなくてもよい。
⇒認証局の公開鍵が組み込まれていることは、証明書の署名検証に必要です。しかし、それだけでは証明書が失効していないことまでは確認できません。証明書の有効性を確認するには、CRLやOCSPなどによる失効確認が必要です。
ウ:認証局は,発行した全てのデジタル証明書の有効期限をCRLに記載する。
⇒CRLは、発行した全ての証明書の一覧ではなく、失効した証明書の一覧です。全ての証明書の有効期限を記載するものではありません。
TSUNAGARU-ADVICE

まず押さえたいこと

CRLは、認証局が発行した証明書のうち、有効期限内であっても失効した証明書の一覧です。証明書そのものが期限内でも、秘密鍵の漏えいや発行ミスなどがあれば無効にする必要があります。失効した証明書のシリアル番号を載せる一覧と押さえましょう。

迷ったときの判断軸

CRLには、発行した全証明書の有効期限を載せるわけではありません。また、認証局の公開鍵がブラウザに組み込まれていても、証明書が失効していないかの確認は別の観点です。「有効期限内の証明書が失効されたとき」という条件に注目すると判断しやすくなります。

科目Bにつなげるために

特に情報処理安全確保支援士試験合格を目指す方は、CRLをPKIにおける証明書の信頼性確認の仕組みとして理解しておくと有効です。TLS・コード署名・クライアント証明書などで、証明書チェーンの検証だけでなく、失効確認まで含めて判断する問題につながります。