情報処理安全確保支援士試験 情報処理安全確保支援士試験 平成30年度春期 午前Ⅱ 問8: X.509 における CRL(Certificate Revocation List)に関する記述のうち,適切なものはどれか。
←情報処理安全確保支援士試験 平成30年度春期 午前Ⅱ
X.509 における CRL(Certificate Revocation List)に関する記述のうち,適切なものはどれか。
問題本文
X.509 における CRL(Certificate Revocation List)に関する記述のうち,適切なものはどれか。
選択肢
- ア.PKI の利用者は,認証局の公開鍵が Web ブラウザに組み込まれていれば,CRL を参照しなくてもよい。
- イ.認証局は,発行した全てのディジタル証明書の有効期限を CRL に登録する。
- ウ.認証局は,発行したディジタル証明書のうち,失効したものは,シリアル番号を失効後 1 年間 CRL に登録するよう義務付けられている。
- エ.認証局は,有効期限内のディジタル証明書のシリアル番号を CRL に登録することがある。
正解
エ. 認証局は,有効期限内のディジタル証明書のシリアル番号を CRL に登録することがある。
解説
CRLは、有効期限内であるにもかかわらず鍵漏えいや所属変更などで失効した証明書のシリアル番号を認証局が登録した一覧。検証側は証明書が有効期限内でもCRL(やOCSP)で失効していないか確認する必要がある。これを踏まえたエが正しい。実務では失効確認を省くと、漏えいした鍵での不正利用を見抜けなくなる点に注意する。
選択肢ごとの解説
- ア.認証局の公開鍵が組み込まれていても失効確認は別で必要なため、CRL参照不要とするのは誤り。
- イ.CRLは失効した証明書を登録するもので、全証明書の有効期限を登録するという記述は誤り。
- ウ.失効後1年間の登録を一律義務付ける規定はなく、登録期間をこう断定するのは誤り。
- エ.有効期限内でも鍵漏えい等で失効した証明書のシリアル番号を登録することがあり、正しく正解。
情報処理安全確保支援士試験 平成30年度春期 午前Ⅱ の過去問一覧へ戻る・問8