情報処理安全確保支援士試験 情報処理安全確保支援士試験 令和6年度春期 午前Ⅱ 問6: X.509 における CRL に関する記述のうち，適切なものはどれか。

問題本文

X.509 における CRL に関する記述のうち，適切なものはどれか。

選択肢

• ア.RFC 5280 では，認証局は，発行したデジタル証明書のうち失効したものについては，シリアル番号を失効後 1 年間 CRL に記載するよう義務付けている。
• イ.Web サイトの利用者の Web ブラウザは，その Web サイトにサーバ証明書を発行した認証局の公開鍵が Web ブラウザに組み込まれていれば，CRL を参照しなくてもよい。
• ウ.認証局は，発行した全てのデジタル証明書の有効期限を CRL に記載する。
• エ.認証局は，有効期限内のデジタル証明書が失効されたとき，そのシリアル番号を CRL に記載する。

正解

エ. 認証局は，有効期限内のデジタル証明書が失効されたとき，そのシリアル番号を CRL に記載する。

解説

CRL(証明書失効リスト)は、有効期限内であるにもかかわらず鍵漏えいや誤発行などで失効させた証明書のシリアル番号を、CAが列挙して公開する仕組み。検証側はCRLを参照して当該証明書が失効していないか確認する。エが正しい。実務では失効確認のためにCRLやOCSPを利用し、信頼すべきでない証明書の利用を防ぐ。CAの公開鍵を持っていても失効確認は別途必要。

選択肢ごとの解説

• ア.RFCはCRL記載期間を一律1年と義務付けてはおらず、運用ポリシーに依存するため誤り。
• イ.CAの公開鍵を持っていても失効確認は別途必要で、CRL参照不要とはいえず誤り。
• ウ.CRLには失効した証明書のみを記載し、全証明書の有効期限を載せるわけではなく誤り。
• エ.有効期限内に失効した証明書のシリアル番号をCRLに記載するという記述で正しい。