情報処理安全確保支援士試験 情報セキュリティスペシャリスト試験 平成28年度秋期 午前Ⅱ 問7: X.509 における CRL(Certificate Revocation List)についての説明のうち,適切なものはどれか。
←情報セキュリティスペシャリスト試験 平成28年度秋期 午前Ⅱ
X.509 における CRL(Certificate Revocation List)についての説明のうち,適切なものはどれか。
問題本文
X.509 における CRL(Certificate Revocation List)についての説明のうち,適切なものはどれか。
選択肢
- ア.PKI の利用者は,認証局の公開鍵が Web ブラウザに組み込まれていれば,CRL を参照しなくてもよい。
- イ.認証局は,発行した全てのディジタル証明書の有効期限を CRL に登録する。
- ウ.認証局は,発行したディジタル証明書のうち,失効したものは,失効後 1 年間 CRL に登録するよう義務付けられている。
- エ.認証局は,有効期限内のディジタル証明書を CRL に登録することがある。
正解
エ. 認証局は,有効期限内のディジタル証明書を CRL に登録することがある。
解説
CRLは認証局が、有効期限内であるにもかかわらず鍵漏えいなどで失効させた証明書のシリアル番号を列挙したリスト。検証者は証明書が失効していないかをCRLで確認する。有効期限切れの証明書は載せないが、期限内でも失効すれば登録されるためエが正解。実務ではOCSPと併用しリアルタイムに失効を確認する。
選択肢ごとの解説
- ア.認証局公開鍵があってもCRL確認は必要で、参照不要とする記述は誤り。
- イ.CRLは失効した証明書のみを載せ、全証明書の有効期限は登録せず誤り。
- ウ.失効後1年間の登録義務といった一律規定は存在せず誤り。
- エ.有効期限内でも失効した証明書をCRLに登録することがある点が正解。
情報セキュリティスペシャリスト試験 平成28年度秋期 午前Ⅱ の過去問一覧へ戻る・問7