予想問題vol.9 問14
問14
ブラウザがWebサーバとの間でSSLで通信する際,デジタル証明書に関する警告メッセージが表示される原因となり得るものはどれか。
- Webサーバが,SSL通信の暗号化方式として,ハンドシェイク終了後に共通鍵暗号化方式でSSLセッションを開始した。
- ブラウザがCRLの妥当性をVAに問い合わせる際に,OCSPやSCVPが用いられた。
- ブラウザがWebサーバのデジタル証明書の検証に成功した後に,WebサーバからSSLセッションを確立した。
- ルートCAのデジタル証明書について,Webサーバのデジタル証明書のものがブラウザで保持しているどのものとも一致しなかった。
- [出典]
- 情報セキュリティ H21秋期 問2
分類
テクノロジ系 » セキュリティ » セキュリティ実装技術
正解
エ
解説
- SSLではハンドシェイクプロトコルによるサーバ・クライアントの相互認証、および鍵交換を公開鍵暗号方式で行い、セッション確立後は認証時に交換した共通鍵によって通信を行います。したがって警告の原因とはなりません。
- VA(Validation Authority,電子証明書検証機関)は、デジタル証明書の失効情報の管理やCRL(証明書失効リスト)の確認などの役割を担う機関です。OCSP(Online Certificate Status Protocol)やSCVP(Simple Certificate Validation Protocol)は、証明書の有効性をリアルタイムで検証する仕組みで、これらのプロトコルを用いた問合せは正当な流れで行われるので警告メッセージの原因とはなりません。
- Webサーバのデジタル証明書は検証済みなのでWebサーバの正当性は確認されています。したがってWebサーバからのセッション開始は問題ありません。
- 正しい。OSやブラウザには信頼できるルートCA証明書があらかじめインストールされていて、Webサーバから提示されたデジタル証明書が正規のものであれば、発行元を遡っていくとインストールされているルートCA証明書のいずれかに行き当たります。
ルートCAのデジタル証明書がブラウザのものと一致しないということは、Webサーバから提示されたデジタル証明書が不正なものである可能性が生じるためブラウザは警告メッセージを表示しユーザーに確認を行います。
- 証明書の有効期限がきれている
- 証明書が失効状態になっている
- 証明書のコモンネームとアクセス先が一致しない