情報セキュリティスペシャリスト平成21年秋期 午前U 問2

午前U 問2

ブラウザがWebサーバとの間でSSLで通信する際,ディジタル証明書に関する警告メッセージが表示される原因となり得るものはどれか。
  • Webサーバが,SSL通信の暗号化方式として,ハンドシェイク終了後に共通鍵暗号化方式でSSLセッションを開始した。
  • ブラウザがCRLの妥当性をVAに問い合わせる際に,OCSPやSCVPが用いられた。
  • ブラウザがWebサーバのディジタル証明書の検証に成功した後に,WebサーバからSSLセッションを確立した。
  • ルートCAのディジタル証明書について,Webサーバのディジタル証明書のものがブラウザで保持しているどのものとも一致しなかった。

分類

テクノロジ系 » セキュリティ » セキュリティ実装技術

正解

解説

  • SSLではハンドシェイクプロトコルによるサーバ・クライアントの相互認証、および鍵交換を公開鍵暗号方式で行い、セッション確立後は認証時に交換した共通鍵によって通信を行います。したがって警告の原因とはなりません。
  • VA(Validation Authority,電子証明書検証機関)は、ディジタル証明書の失効情報の管理やCRL(証明書失効リスト)の確認などの役割を担う機関です。OCSP(Online Certificate Status Protocol)やSCVP(Simple Certificate Validation Protocol)は、証明書の有効性をリアルタイムで検証する仕組みで、これらのプロトコルを用いた問合せは正当な流れで行われるので警告メッセージの原因とはなりません。
  • Webサーバのディジタル証明書は検証済みなのでWebサーバの正当性は確認されています。したがってWebサーバからのセッション開始は問題ありません。
  • 正しい。OSやブラウザには信頼できるルートCA証明書があらかじめインストールされていて、Webサーバから提示されたディジタル証明書が正規のものであれば、発行元を遡っていくとインストールされているルートCA証明書のいずれかに行き当たります。
    ルートCAのディジタル証明書がブラウザのものと一致しないということは、Webサーバから提示されたディジタル証明書が不正なものである可能性が生じるためブラウザは警告メッセージを表示しユーザに確認を行います。
その他にもブラウザに警告メッセージを表示されるケースは以下のものがあります。
  • 証明書の有効期限がきれている
  • 証明書が失効状態になっている
  • 証明書のコモンネームとアクセス先が一致しない
© 2014-2019 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop