情報処理安全確保支援士試験 情報セキュリティスペシャリスト試験 平成27年度春期 午前Ⅱ 問6: X.509におけるCRL（Certificate Revocation List）についての説明のうち，適切なものはどれか。

問題本文

X.509におけるCRL（Certificate Revocation List）についての説明のうち，適切なものはどれか。

選択肢

• ア.PKIの利用者は，認証局の公開鍵がWebブラウザに組み込まれていれば，CRLを参照しなくてもよい。
• イ.認証局は，発行した全てのディジタル証明書の有効期限をCRLに登録する。
• ウ.認証局は，発行したディジタル証明書のうち，失効したものは，失効後1年間CRLに登録するよう義務付けられている。
• エ.認証局は，有効期限内のディジタル証明書をCRLに登録することがある。

正解

エ. 認証局は，有効期限内のディジタル証明書をCRLに登録することがある。

解説

CRLは認証局が失効させた証明書のシリアル番号を列挙したリスト。証明書は有効期限内であっても、鍵の漏えいや所属変更などで失効されることがあり、その場合に有効期限内の証明書がCRLに登録される。利用者は失効確認のためCRLやOCSPを参照する必要がある。実務では失効確認を怠ると、漏えいした鍵による不正を見抜けない。

選択肢ごとの解説

• ア.CA公開鍵があっても失効は別問題であり、CRL等の失効確認は必要なため誤り。
• イ.CRLは失効した証明書を登録するものであり、全証明書の有効期限を載せるものではないため誤り。
• ウ.失効後1年間の登録義務という規定は存在せず、運用に基づく記述ではないため誤り。
• エ.有効期限内でも漏えい等で失効すればCRLに登録されることがあり正しい。