情報処理安全確保支援士平成30年春期 午前U 問8

午前U 問8

X.509におけるCRL(Certificate Revocation List)に関する記述のうち,適切なものはどれか。
  • PKIの利用者は,認証局の公開鍵がwebブラウザに組み込まれていれば,CRLを参照しなくてもよい。
  • 認証局は,発行した全てのディジタル証明書の有効期限をCRLに登録する。
  • 認証局は,発行したディジタル証明書のうち,失効したものは,シリアル番号を失効後1年間CRLに登録するよう義務付けられている。
  • 認証局は,有効期限内のディジタル証明書のシリアル番号をCRLに登録することがある。
  • [この問題の出題歴]
  • 情報セキュリティ H23特別 問6
  • 情報セキュリティ H27春期 問6
  • 情報セキュリティ H28秋期 問7

分類

テクノロジ系 » セキュリティ » 情報セキュリティ

正解

解説

X.509は、ITU-Tが1988年に勧告したディジタル証明書及びCRLの標準仕様で、ISO/IEC 9594-8として国際規格化されています。
CRL(Certificate Revocation List,証明書失効リスト)
秘密鍵の漏洩・紛失、証明書の被発行者の規則違反などの理由で、公開鍵基盤(PKI)において失効した(信用性のない)公開鍵証明書のリスト
  • ブラウザに組み込まれている公開鍵の有効性を検証するためにはCRLを参照しなくてはなりません。
  • CRLはディジタル証明書の有効期限を記述するものではありません。
  • CRLでの公開期限は失効状態になったディジタル証明書の有効期限が切れるまでです。
  • 正しい。秘密鍵の漏えいなどの理由で、認証の役に立たなくなった証明書は有効期限内であってもCRLに登録されます。
© 2014-2019 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop