情報処理安全確保支援士(情報セキュリティスペシャリスト) 試験情報＆徹底解説

CRL(Certificate Revocation List：証明書失効リスト)は、有効期限内であるにもかかわらず、秘密鍵の漏えい、紛失、証明書の被発行者の規則違反などの理由により安全性が担保されなくなったために、失効となったディジタル証明書の一覧表です。CRLには、失効した証明書のシリアル番号、失効日時、失効事由などが登録されています。

ディジタル証明書の提示を受けたブラウザ等のクライアントは、CRLを参照し、そのディジタル証明書が登録されていた場合にはブロックする仕組みになっています。

• CRLに登録されるのはシリアル番号、失効日時、失効事由などです。秘密鍵そのものの情報が登録されているわけではありません。
• 正しい。CRLには、有効期限内に失効したディジタル証明書のシリアル番号と失効日時の対応が登録されます
• ディジタル証明書の有効性をリアルタイムで問い合わせる手順を定めたOCSP(Online Certificate Status Protocol)に関する記述です。
• CRLに登録されるのは、有効期限が満了していないのに失効した証明書です。有効期限切れで失効したディジタル証明書は、無効であることが明らかなのでCRLに登録されることはありません。また、CRLに登録された証明書も当初の有効期限が過ぎればCRLから抹消されます。