情報処理安全確保支援士試験 情報処理安全確保支援士試験 令和元年度秋期 午前Ⅱ 問6: X.509 における CRL（Certificate Revocation List）に関する記述のうち，適切なものはどれか。

問題本文

X.509 における CRL（Certificate Revocation List）に関する記述のうち，適切なものはどれか。

選択肢

• ア.PKI の利用者は，認証局の公開鍵が Web ブラウザに組み込まれていれば，CRL を参照しなくてもよい。
• イ.認証局は，発行した全てのディジタル証明書の有効期限を CRL に記載する。
• ウ.認証局は，発行したディジタル証明書のうち失効したものについては，シリアル番号を失効後 1 年間 CRL に記載するよう義務付けられている。
• エ.認証局は，有効期限内のディジタル証明書のシリアル番号を CRL に記載することがある。

正解

エ. 認証局は，有効期限内のディジタル証明書のシリアル番号を CRL に記載することがある。

解説

CRLは、有効期限の到来前に失効(秘密鍵漏えいや所属変更など)した証明書のシリアル番号を、CAが署名して公開する失効リスト。有効期限内でも失効したものを載せることがあるためエが正解。期限切れ証明書は自然に無効なので原則載せず、ブラウザに公開鍵があっても失効確認は必要。実務ではCRLは肥大化や鮮度の問題があり、OCSPやOCSPステープリングが併用される。

選択肢ごとの解説

• ア.認証局公開鍵があっても証明書が途中失効している可能性があるため、CRL等での失効確認は省略できず誤り。
• イ.CRLは全証明書の有効期限を載せるものではなく、失効した証明書のシリアル番号を載せるため誤り。
• ウ.失効後1年間の記載義務といった一律の規定はなく、運用ポリシに依存するため誤り。
• エ.有効期限内でも失効した証明書のシリアル番号を載せることがあり、CRLの記述として正しく正解。