応用情報技術者試験 応用情報技術者試験 平成29年度秋期 午前 問36: 認証局が発行する CRL に関する記述のうち，適切なものはどれか。

問題本文

認証局が発行する CRL に関する記述のうち，適切なものはどれか。

選択肢

• ア.CRL には，失効したディジタル証明書に対応する秘密鍵が登録される。
• イ.CRL には，有効期限内のディジタル証明書のうち失効したディジタル証明書と失効した日時の対応が提示される。
• ウ.CRL は，鍵の漏えい，失効申請の状況をリアルタイムに反映するプロトコルである。
• エ.有効期限切れで失効したディジタル証明書は，所有者が新たなディジタル証明書を取得するまでの間，CRL に登録される。

正解

イ. CRL には，有効期限内のディジタル証明書のうち失効したディジタル証明書と失効した日時の対応が提示される。

解説

CRL(Certificate Revocation List，証明書失効リスト)は認証局(CA)が発行する『失効した証明書の一覧』である。秘密鍵の漏えいなどで，有効期限が来る前に無効化された証明書について，その識別情報と失効日時を載せる。これを述べたイが正しい。CRL に載るのは証明書(シリアル番号)であって秘密鍵ではなく，CRL はリストであってプロトコルでもなく，有効期限切れの証明書はそもそも無効なので CRL には載せない。

選択肢ごとの解説

• ア.誤り。CRL に登録されるのは失効した証明書を識別する情報(シリアル番号など)であって，秘密鍵が登録されるわけではない。
• イ.正しい。有効期限内でありながら失効した証明書とその失効日時の対応を示すのが CRL の内容である。
• ウ.誤り。CRL は定期的に発行される『リスト(一覧)』であり，リアルタイムに状況を反映するプロトコルではない(リアルタイムに問い合わせるのは OCSP)。
• エ.誤り。有効期限が切れた証明書はそれだけで無効と判断できるため，わざわざ CRL に載せる必要はない。CRL は期限内に失効させた証明書を対象とする。