特徴
- CRL(Certificate Revocation List)とは、ディジタル証明書の失効リストのことで、有効期限内に失効となったディジタル証明書が記載されているもので、その仕様はITU(国際電気通信連合)のX.509で規定されている
- ディジタル証明書の有効期限内に秘密鍵が漏洩した場合などに、そのディジタル証明書を失効させるために、認証局(CA:Certification Authority)によってCRLに記載されるが、安全だと判断されればCRLから削除され、効力が復活される場合もある
- CRLには、シリアル番号の他に、発行したCA名、更新日、次回更新日などが記載される
- CRLには、有効期限切れで無効となったディジタル証明書は記載されない
- 利用者側では、利用しているディジタル証明書に関して、定期的に最新のCRLをダウンロードして有効性を確認する
過去問
情報処理安全確保支援士試験 令和3年度 秋期 午前2 問8
情報処理安全確保支援士試験 令和元年度 秋期 午前2 問6
【出典:情報処理安全確保支援士試験 令和3年度 秋期 午前2 問8(一部、加工あり)】
【出典:情報処理安全確保支援士試験 令和元年度 秋期 午前2 問6(一部、加工あり)】
X.509におけるCRL(Certificate Revocation List)に関する記述のうち、適切なものはどれか。
- PKIの利用者のWebブラウザは,認証局の公開鍵がWebブラウザに組み込まれていれば,CRLを参照しなくてもよい。
→CRLを参照するのは、ディジタル証明書が失効しているかどうかを確認するためであり、公開鍵がWebブラウザに組み込まれていても関係なく実施する必要があります。 - RFC 5280では,認証局は,発行したディジタル証明書のうち失効したものについては,シリアル番号を失効後1年間CRLに記載するよう義務付けている。
→CRLでの公開は、失効状態になったディジタル証明書の有効期限までになります。 - 認証局は,発行した全てのディジタル証明書の有効期限をCRLに記載する。
→CRLには有効期限は記載されません。 - 認証局は,有効期限内のディジタル証明書のシリアル番号をCRLに登録することがある。
→正解です。