ITパスポート試験 ITパスポート 2010年 (平成22年 秋期) 問80: オンラインショッピングサイトに接続したとき、ブラウザにSSL鍵マークが表示された。さらに、サーバ証明書が、目的のオンラインショッピングサイトの運営者のものである

問題本文

オンラインショッピングサイトに接続したとき、ブラウザにSSL鍵マークが表示された。さらに、サーバ証明書が、目的のオンラインショッピングサイトの運営者のものであることを確認した。このとき、次のa~cのうち、判断できるもの(○)と判断できないもの(×)の適切な組合せはどれか。 a. アクセスしているショッピングサイト運営者の財務状況は安定している。 b. アクセスしているショッピングサイトは偽のサイトではない。 c. 利用者が入力した個人情報、注文情報を途中経路で盗み見られることはない。

選択肢

• ア.a:○、b:○、c:○
• イ.a:×、b:○、c:○
• ウ.a:×、b:○、c:×
• エ.a:×、b:×、c:○

正解

イ. a:×、b:○、c:○

解説

SSL/TLSの鍵マークとサーバ証明書確認で判断できるのは(b)サイトが偽でない(=証明書で認証)と(c)通信内容が暗号化されて盗み見されない、の2点.判断できないのは(a)運営者の財務状況(SSL証明書は本人確認のみで経営状態は保証しない).混同注意として、EV-SSLでも財務情報までは保証しない.「SSL=サイト真正性+通信暗号化」が確実、「経営の良し悪し」は別判断材料.正解はイ.

選択肢ごとの解説

• ア.全部○は誤り.SSL/サーバ証明書では運営者の財務状況は判断できない.aは×が正しく、bとcのみ○が正答.経営の健全性は別の調査が必要.
• イ.正解.a=×(財務状況は判断できない)、b=○(偽サイトでないと確認可)、c=○(暗号化で盗み見されない).SSLの判断範囲を正しく整理した組合せ.
• ウ.cを×としているが、SSLは通信を暗号化するため途中経路での盗み見防止は○が正しい.cの判断を誤って×にしているため不適切.
• エ.bを×としているが、サーバ証明書確認で偽サイトでないと確認できるためbは○が正しい.SSLの中核機能であるサイト真正性の判断ができる.