情報処理安全確保支援士試験 情報処理安全確保支援士試験 令和3年度秋期 午前Ⅱ 問8: X.509 における CRL（Certificate Revocation List）に関する記述のうち，適切なものはどれか。

問題本文

X.509 における CRL（Certificate Revocation List）に関する記述のうち，適切なものはどれか。

選択肢

• ア.PKI の利用者の Web ブラウザは，認証局の公開鍵が Web ブラウザに組み込まれていれば，CRL を参照しなくてもよい。
• イ.RFC 5280 では，認証局は，発行したディジタル証明書のうち失効したものについては，シリアル番号を失効後 1 年間 CRL に記載するよう義務付けている。
• ウ.認証局は，発行した全てのディジタル証明書の有効期限を CRL に記載する。
• エ.認証局は，有効期限内のディジタル証明書のシリアル番号を CRL に記載することがある。

正解

エ. 認証局は，有効期限内のディジタル証明書のシリアル番号を CRL に記載することがある。

解説

CRLは認証局が公開する失効した証明書の一覧で、有効期限内であっても秘密鍵漏えいなどで信頼できなくなった証明書のシリアル番号が記載される。よってエが正しい。期限切れは自然に無効になるため記載不要で、検証者はCRLやOCSPで失効状態を確認することが安全な利用に不可欠となる。

選択肢ごとの解説

• ア.CAの公開鍵があっても失効確認は別問題で、CRL参照を省けるとは限らないため誤り。
• イ.RFC 5280は失効後1年間の記載といった一律の義務付けはしておらず、記述が不正確で誤り。
• ウ.CRLは失効した証明書の一覧であり、全証明書の有効期限を載せるものではないため誤り。
• エ.有効期限内でも失効した証明書のシリアル番号を記載する点がCRLの目的に合致し正解。