CRL|情報処理安全確保支援士試験 令和元年 秋期午前Ⅱ試験 問6

出典:令和元年秋期 午前Ⅱ 問6 分野:セキュリティ / 情報セキュリティ
X.509におけるCRL(Certificate Revocation List)に関する記述のうち,適切なものはどれか。
  • ア:PKIの利用者は,認証局の公開鍵がWebブラウザに組み込まれていれば,CRLを参照しなくてもよい。
  • イ:認証局は,発行した全てのデジタル証明書の有効期限をCRLに登録する。
  • ウ:認証局は,発行したデジタル証明書のうち,失効したものは,シリアル番号を失効後1年間CRLに登録するよう義務付けられている。
  • エ:認証局は,有効期限内のデジタル証明書のシリアル番号をCRLに登録することがある。
解説

CRLは、Certificate Revocation Listの略で、認証局が発行したデジタル証明書のうち、失効した証明書の情報を掲載するリストです。

デジタル証明書は、有効期限内であっても、秘密鍵の漏えいや利用者の資格喪失などによって失効することがあります。そのため、認証局は、有効期限内であっても失効したデジタル証明書のシリアル番号をCRLに登録することがあります。

したがって、が適切です。

❌他選択肢が誤りの理由
ア:PKIの利用者は,認証局の公開鍵がWebブラウザに組み込まれていれば,CRLを参照しなくてもよい。
⇒認証局の公開鍵がWebブラウザに組み込まれていても、証明書が失効していないことまでは確認できません。証明書が有効期限内でも失効している可能性があるため、CRLやOCSPなどによる失効確認が必要です。
イ:認証局は,発行した全てのデジタル証明書の有効期限をCRLに登録する。
⇒CRLは、全ての証明書の有効期限を登録するリストではありません。登録されるのは、主に失効した証明書のシリアル番号や失効日時などの情報です。
ウ:認証局は,発行したデジタル証明書のうち,失効したものは,シリアル番号を失効後1年間CRLに登録するよう義務付けられている。
⇒失効した証明書を一律に失効後1年間だけCRLに登録するという説明は不適切です。CRLには失効した証明書の情報が掲載されますが、掲載期間は証明書の有効期間や認証局の運用方針などに基づいて扱われます。
TSUNAGARU-ADVICE

まず押さえたいこと

CRLは、認証局が発行したデジタル証明書のうち、失効した証明書を確認するためのリストです。失効した証明書を識別するために、有効期限内のデジタル証明書のシリアル番号がCRLに登録されることがあります。

迷ったときの判断軸

認証局の公開鍵がブラウザに組み込まれていても、その証明書が失効していないかの確認は別に必要です。また、CRLは全ての証明書の有効期限を登録するリストではありません。失効後1年間だけ登録するという固定的な義務でもなく、失効した証明書を確認するためのリストと判断しましょう。

科目Bにつなげるために

科目Bでは、秘密鍵漏えいや証明書の誤発行、利用者の退職などにより、証明書を失効させる場面が出ることがあります。証明書の検証では、有効期限だけでなく、CRLやOCSPで失効状態を確認する視点を持ちましょう。