情報処理安全確保支援士試験 情報セキュリティスペシャリスト試験 平成28年度春期 午前Ⅱ 問1: CRL（Certificate Revocation List）に掲載されるものはどれか。

問題本文

CRL（Certificate Revocation List）に掲載されるものはどれか。

選択肢

• ア.有効期限切れになったディジタル証明書の公開鍵
• イ.有効期限切れになったディジタル証明書のシリアル番号
• ウ.有効期限内に失効したディジタル証明書の公開鍵
• エ.有効期限内に失効したディジタル証明書のシリアル番号

正解

エ. 有効期限内に失効したディジタル証明書のシリアル番号

解説

CRLは認証局が公開する失効証明書の一覧で、有効期限内であるにもかかわらず秘密鍵漏えいや所属変更などで無効化された証明書を相手に知らせる仕組み。掲載されるのは証明書を一意に識別するシリアル番号であって、公開鍵そのものではない。期限切れの証明書は有効期間を見れば失効と判断でき、CRLに載せる必要はない。実務では検証側がCRLやOCSPで失効確認を行い、漏えい証明書の悪用を防ぐ。

選択肢ごとの解説

• ア.期限切れは有効期間で判別でき載せる必要がなく、また掲載対象は公開鍵でなくシリアル番号なので誤り。
• イ.識別子はシリアル番号で正しいが、期限切れ証明書はCRLの対象外であり誤り。
• ウ.失効対象という点は合うが、掲載されるのは公開鍵ではなくシリアル番号なので誤り。
• エ.有効期限内に失効した証明書のシリアル番号を掲載するというCRLの定義そのもので正しい。