サイバーセキュリティ分野における初の国家資格「情報処理安全確保支援士」制度が始まりました。資格試験の受験を検討している人も、そうでない人も過去問題にチャレンジしてみましょう。今回は、「X.509におけるCRL」についての問題です。

問 X.509におけるCRL(Certificate Revocation List)についての説明のう
ち、適切なものはどれか。

ア PKIの利用者は、認証局の公開鍵がWebブラウザに組み込まれていれば、CRLを参照しなくてもよい。
イ 認証局は、発行した全てのディジタル証明書の有効期限をCRLに登録する。
ウ 認証局は、発行したディジタル証明書のうち、失効したものは、失効後1年間CRLに登録するよう義務付けられている。
エ 認証局は、有効期限内のディジタル証明書をCRLに登録することがある。

 X.509は、ITU-T(国際電気通信連合 電気通信標準化部門)が定めたPKI(公開鍵基盤)の規格です。ディジタル証明書やCRL(Certificate RevocationList;証明書失効リスト)の標準仕様などが記載されています。

 CRLは、信頼できなくなったディジタル証明書のリストです。有効期限内でも、以下のような理由で失効されたディジタル証明書が登録されます。

  • 証明書の内容が変更された
  • 秘密鍵の紛失や盗難が発生した
  • 認証局の鍵が危たい化した(安全ではない状態になった)
  • 利用者(発行元)の不正が発覚した