令和3年秋期試験午前問題 午前Ⅱ 問8

午前Ⅱ 問8解説へ
X.509におけるCRL(Certificate Revocation List)に関する記述のうち,適切なものはどれか。

  • PKIの利用者のWebブラウザは,認証局の公開鍵がWebブラウザに組み込まれていれば,CRLを参照しなくてもよい。
  • RFC 5280では,認証局は,発行したディジタル証明書のうち失効したものについては,シリアル番号を失効後1年間CRLに記載するよう義務付けている。
  • 認証局は,発行した全てのディジタル証明書の有効期限をCRLに記載する。
  • 認証局は,有効期限内のディジタル証明書のシリアル番号をCRLに登録することがある。
正解 問題へ
分野:テクノロジ系
中分類:セキュリティ
小分類:情報セキュリティ
X.509は、ITU-Tが1988年に勧告したディジタル証明書及びCRLの標準仕様で、ISO/IEC 9594-8として国際規格化されています。CRL(Certificate Revocation List,証明書失効リスト)は、秘密鍵の漏洩・紛失、証明書の被発行者の規則違反などの理由で、公開鍵基盤(PKI)において失効した公開鍵証明書のシリアル番号のリストです。
  • ブラウザに組み込まれている公開鍵の有効性を検証するためにはCRLを参照しなくてはなりません。
  • CRLでの公開期限は失効状態になったディジタル証明書の有効期限が切れるまでです。RFC 5280によれば「CRLのエントリは、失効した証明書の有効期間を超えて定期的に発行されるCRLに記載されるまで、CRLから削除してはならない。」とあります。
  • CRLはディジタル証明書の有効期限を記述するものではありません。
  • 正しい。名前の変更、被認証者と認証機関との関係の変更、秘密鍵の危殆化や漏えいなどの理由で認証の役に立たなくなった証明書は、無効化するために有効期限内であってもCRLに登録されます。

この問題の出題歴


Pagetop