CRL|情報処理安全確保支援士試験 令和3年秋期午前Ⅱ 問8
出典:令和3年秋期 午前Ⅱ 問8
分野:セキュリティ / 情報セキュリティ
X.509におけるCRL(Certificate Revocation List)に関する記述のうち,適切なものはどれか。
- ア:PKIの利用者のWebブラウザは,認証局の公開鍵がWebブラウザに組み込まれていれば,CRLを参照しなくてもよい。
- イ:RFC 5280では,認証局は,発行したデジタル証明書のうち失効したものについては,シリアル番号を失効後1年間CRLに記載するよう義務付けている。
- ウ:認証局は,発行した全てのデジタル証明書の有効期限をCRLに記載する。
- エ:認証局は,有効期限内のデジタル証明書のシリアル番号をCRLに登録することがある。
TSUNAGARU-ADVICE
まず押さえたいこと
CRLは、認証局が発行したデジタル証明書のうち、有効期限内であっても失効した証明書を確認するためのリストです。CRLには、失効した証明書のシリアル番号などが登録されます。
迷ったときの判断軸
Webブラウザに認証局の公開鍵が組み込まれていても、証明書が失効していないかの確認は別に必要です。また、CRLは発行済み証明書すべての有効期限を載せるリストではありません。有効期限内だが、何らかの理由で使えなくなった証明書を載せるものと判断しましょう。
科目Bにつなげるために
科目Bでは、秘密鍵漏えい・証明書の誤発行・利用者の退職などをきっかけに、証明書を失効させる場面が出ることがあります。証明書の有効期限だけでなく、CRLやOCSPで失効状態を確認する視点を持っておきましょう。
X.509は、デジタル証明書やCRLの形式を定めた標準仕様です。ITU-Tによって勧告され、ISO/IEC 9594-8として国際規格にもなっています。
デジタル証明書は、「この公開鍵は、この人・組織・サーバのものです」と証明するための電子的な証明書です。WebサイトのHTTPS通信で使われるサーバ証明書も、一般にX.509形式の証明書です。
X.509証明書には、証明書の所有者・発行者・公開鍵・有効期限・シリアル番号・署名アルゴリズムなどの情報が含まれます。これにより、利用者は「この公開鍵を信頼してよいか」を確認できます。
一方、CRL(Certificate Revocation List)は、すでに失効した証明書の一覧です。証明書には有効期限がありますが、有効期限内でも秘密鍵が漏えいした場合や、証明書の利用者が規則違反をした場合などには、証明書を無効にする必要があります。
そのような失効済み証明書のシリアル番号をまとめて公開するものがCRLです。利用者側はCRLを確認することで、「この証明書はまだ有効か」「すでに失効していないか」を判断できます。
つまりX.509は、「公開鍵証明書をどのような形式で作るか」を定めた仕様であり、CRLは「失効した証明書を確認するためのリスト」と考えると分かりやすいです。
したがって、エが適切です。
❌他選択肢が誤りの理由ア:PKIの利用者のWebブラウザは,認証局の公開鍵がWebブラウザに組み込まれていれば,CRLを参照しなくてもよい。
⇒認証局の公開鍵がWebブラウザに組み込まれていても、証明書が失効していないとは限りません。証明書の署名を検証できても、その証明書が現在も有効かを確認するには、CRLやOCSPなどによる失効確認が必要です。
イ:RFC 5280では,認証局は,発行したデジタル証明書のうち失効したものについては,シリアル番号を失効後1年間CRLに記載するよう義務付けている。
⇒CRLには失効した証明書の情報が記載されますが、「失効後1年間」と一律に義務付けているわけではありません。失効情報の扱いは、有効期限や認証局の運用方針などに従って管理されます。
ウ:認証局は,発行した全てのデジタル証明書の有効期限をCRLに記載する。
⇒CRLは、発行済みの全証明書の有効期限一覧ではありません。失効した証明書のシリアル番号や失効日時などを示すリストであり、全ての証明書を掲載するものではありません。