情報処理安全確保支援士試験 情報処理安全確保支援士試験 平成31年度春期 午前Ⅱ 問1: CRL（Certificate Revocation List）に掲載されるものはどれか。

問題本文

CRL（Certificate Revocation List）に掲載されるものはどれか。

選択肢

• ア.有効期限切れになったディジタル証明書の公開鍵
• イ.有効期限切れになったディジタル証明書のシリアル番号
• ウ.有効期限内に失効したディジタル証明書の公開鍵
• エ.有効期限内に失効したディジタル証明書のシリアル番号

正解

エ. 有効期限内に失効したディジタル証明書のシリアル番号

解説

CRLは、有効期限が来る前に鍵漏えいや所属変更などで失効させた証明書を一覧化する仕組みで、CAが署名して配布する。掲載されるのは失効した証明書を一意に識別するシリアル番号であり、公開鍵そのものではない。エが正しい。実務ではブラウザやサーバが相手証明書のシリアル番号をCRLと照合し、失効済みなら信頼しない。OCSPと並ぶ失効確認の基本手段。

選択肢ごとの解説

• ア.有効期限切れの証明書はそもそも信頼されず、また掲載対象は公開鍵でなくシリアル番号なので二重に誤り。
• イ.期限切れはCRL掲載の対象外。CRLは期限内に失効させたものだけを扱うため誤り。
• ウ.失効情報の識別子はシリアル番号であって公開鍵ではないので誤り。
• エ.有効期限内に失効させた証明書のシリアル番号が掲載される点が正解。CAが署名して配布する。