予想問題vol.9 問4
問4
X.509におけるCRL(Certificate Revocation List)についての説明のうち,適切なものはどれか。
- PKIの利用者は,認証局の公開鍵がブラウザに組み込まれていれば,CRLを参照しなくてもよい。
- 認証局は,発行したすべてのデジタル証明書の有効期限をCRLに登録する。
- 認証局は,発行したデジタル証明書のうち,失効したものは,失効後1年間CRLに登録するよう義務付けられている。
- 認証局は,有効期限内のデジタル証明書をCRLに登録することがある。
- [出典]
- 情報セキュリティ H27春期 問6
分類
テクノロジ系 » セキュリティ » 情報セキュリティ
正解
エ
解説
X.509は、ITU-Tが1988年に勧告したデジタル証明書及びCRLの標準仕様で、ISO/IEC 9594-8として国際規格化されています。
- CRL(Certificate Revocation List,証明書失効リスト)
- 秘密鍵の漏洩・紛失、証明書の被発行者の規則違反などの理由で、公開鍵基盤(PKI)において失効した(信用性のない)公開鍵証明書のリスト
- ブラウザに組み込まれている公開鍵の有効性を検証するためにはCRLを参照しなくてはなりません。
- CRLはデジタル証明書の有効期限を記述するものではありません。
- CRLでの公開期限は失効状態になったデジタル証明書の有効期限が切れるまでです。
- 正しい。秘密鍵が漏えいするなどの理由で、認証の役に立たなくなった証明書は有効期限内であってもCRLに登録されます。