X.509におけるCRL(Certificate Revocation List)に関する記述のうち、適切なものはどれか。
| ア | PKIの利用者のWebブラウザは、認証局の公開鍵がブラウザに組み込まれていれば、CRLを参照しなくてもよい。 |
| イ | RFC5280では、認証局は、発行したデジタル証明書のうち失効したものについては、シリアル番号を1年間CRLに記載するよう義務付けている。 |
| ウ | 認証局は、発行したすべてのデジタル証明書の有効期限をCRLに登録する。 |
| エ | 認証局は、有効期限内のデジタル証明書をCRLに登録することがある。 |
答え エ
【解説】
| ア | ブラウザに組み込まれている公開鍵の有効性を検証するためにはCRLを参照する必要があります。 |
| イ | CRLでの公開期限は失効状態になったデジタル証明書の有効期限が切れるまでです。 |
| ウ | CRLはデジタル証明書の有効期限を記述するものではありません。 |
| エ | 秘密鍵が漏えいするなどの理由で、認証の役に立たなくなった証明書は有効期限内であってもCRLに登録されます。 |
【キーワード】
・CRL
- CRL(Certificate Revocation List、証明書失効リスト)
有効期間内に何らかの理由で失効したデジタル証明書のリスト(一覧)で、失効した証明書のシリアル番号が掲載されています。
デジタル証明書を受け取ったときは、証明書に記載された有効期限を確認するだけでなく、受け取った証明書のシリアル番号がCRLに登録されていないか確認し、有効な証明書であるかを確かめます。
もっと、「CRL」について調べてみよう。
戻る
一覧へ
次へ