CRL|情報処理安全確保支援士試験 令和6年春期午前Ⅱ 問6
出典:令和6年春期 午前Ⅱ 問6
分野:セキュリティ / 情報セキュリティ
X.509におけるCRLに関する記述のうち,適切なものはどれか。
- ア:RFC 5280では,認証局は,発行したデジタル証明書のうち失効したものについては,シリアル番号を失効後1年間CRLに記載するよう義務付けている。
- イ:Webサイトの利用者のWebブラウザは,そのWebサイトにサーバ証明書を発行した認証局の公開鍵がWebブラウザに組み込まれていれば,CRLを参照しなくてもよい。
- ウ:認証局は,発行した全てのデジタル証明書の有効期限をCRLに記載する。
- エ:認証局は,有効期限内のデジタル証明書が失効されたとき,そのシリアル番号をCRLに記載する。
TSUNAGARU-ADVICE
まず押さえたいこと
CRLは、認証局が発行した証明書のうち、有効期限内であっても失効された証明書の一覧です。証明書が期限内でも、秘密鍵漏えいなどの理由で無効になる場合があります。
迷ったときの判断軸
CRLに載るのは、発行済み証明書すべての有効期限ではなく、失効した証明書のシリアル番号などです。したがって、有効期限内のデジタル証明書が失効されたとき、そのシリアル番号をCRLに記載すると整理すると判断しやすくなります。
科目Bにつなげるために
科目Bでは、証明書を見て「期限内だから有効」と判断するだけでなく、失効していないかを確認する必要があることまで問われます。CRLやOCSPは、証明書の有効期限とは別に、現在も信頼してよいかを確認する仕組みとして理解しておきましょう。
CRL(Certificate Revocation List)は、認証局が発行したデジタル証明書のうち、有効期限内に失効された証明書の一覧です。
CRLには、失効した証明書のシリアル番号や失効日時などが記載されます。検証者はCRLを参照することで、証明書が現在も有効かどうかを確認できます。
したがって、エが適切です。
❌他選択肢が誤りの理由ア:RFC 5280では,認証局は,発行したデジタル証明書のうち失効したものについては,シリアル番号を失効後1年間CRLに記載するよう義務付けている。
⇒失効後1年間という点で違います。CRLへの掲載期間は一律に1年間と定められているわけではありません。
イ:Webサイトの利用者のWebブラウザは,そのWebサイトにサーバ証明書を発行した認証局の公開鍵がWebブラウザに組み込まれていれば,CRLを参照しなくてもよい。
⇒認証局の公開鍵が組み込まれていれば失効確認不要、という点で違います。証明書チェーンが信頼できても、証明書が失効していないかは別途確認が必要です。
ウ:認証局は,発行した全てのデジタル証明書の有効期限をCRLに記載する。
⇒全ての証明書の有効期限を記載する、という点で違います。CRLは失効した証明書を列挙するリストです。