情報処理安全確保支援士試験 情報セキュリティスペシャリスト試験 平成27年度秋期 午前Ⅱ 問2: 特定の認証局が発行したCRLに関する記述のうち，適切なものはどれか。

問題本文

特定の認証局が発行したCRLに関する記述のうち，適切なものはどれか。

選択肢

• ア.CRLには，失効したディジタル証明書に対応する秘密鍵が登録される。
• イ.CRLには，有効期限内のディジタル証明書のうち失効したディジタル証明書と失効した日時の対応が提示される。
• ウ.CRLは，鍵の漏えい，破棄申請の状況をリアルタイムに反映するプロトコルである。
• エ.有効期限切れで失効したディジタル証明書は，所有者が新たなディジタル証明書を取得するまでの間，CRLに登録される。

正解

イ. CRLには，有効期限内のディジタル証明書のうち失効したディジタル証明書と失効した日時の対応が提示される。

解説

CRL(証明書失効リスト)は、認証局が発行済み証明書のうち有効期限内にもかかわらず失効させたものを、シリアル番号と失効日時の対で列挙し署名して公開する仕組み。鍵漏えいなどで信頼できなくなった証明書を検証側が排除するために使う。よって有効期限内の失効証明書と失効日時を提示するイが正しい。実務ではCRL配布点(CDP)から取得し、即時性が必要ならOCSPを併用する。

選択肢ごとの解説

• ア.CRLに載るのは失効した証明書の識別情報(シリアル番号等)で、秘密鍵そのものは登録されない。
• イ.有効期限内で失効した証明書と失効日時の対応を提示するというCRLの本質を正しく述べており正解。
• ウ.リアルタイムに失効を問い合わせるのはOCSPプロトコル。CRLは定期発行のリストである。
• エ.有効期限切れの証明書は自然に無効となるためCRLに載せる必要はなく、記述は誤り。