X.509-CRL【情報処理安全確保支援士試験 令和6年度 春期 午前Ⅱ 問6】
情報処理安全確保支援士試験 令和6年度 春期 午前Ⅱ 問6
【出典:情報処理安全確保支援士試験 令和6年度 春期 午前Ⅱ(一部、加工あり)】
X.509におけるCRLに関する記述のうち、適切なものはどれか。
ア RFC 5280では、認証局は、発行したデジタル証明書のうち失効したものについては、シリアル番号を失効後1年間CRLに記載するよう義務付けている。
イ Webサイトの利用者のWebブラウザは、そのWebサイトにサーバ証明書を発行した認証局の公開鍵がWebブラウザに組み込まれていれば、CRLを参照しなくてもよい。
ウ 認証局は、発行した全てのデジタル証明書の有効期限をCRLに記載する。
エ 認証局は、有効期限内のデジタル証明書が失効されたとき、そのシリアル番号をCRLに記載する。
今回は、皆さんの学習に役立つX.509におけるCRLについて、分かりやすく解説していきたいと思います。
「CRLって何?」「なぜ必要なの?」といった疑問をスッキリ解決して、さらにセキュリティの知識を深めていきましょう!
X.509におけるCRLってなんだろう?
CRLの定義
まずはCRL(Certificate Revocation List:証明書失効リスト)が何を指すのか、その定義から見ていきましょう。
デジタル証明書、特にX.509証明書は、Webサイトの身元確認や通信の暗号化など、インターネット上での信頼性を確保するために不可欠なものです。しかし、一度発行された証明書が、何らかの理由で無効になる場合があります。例えば、証明書の秘密鍵が漏洩したり、証明書の有効期間が終了する前に組織が閉鎖されたりといったケースです。
このような場合に、その証明書がもはや信頼できないことを示すために使われるのがCRLです。CRLは、認証局(CA)によって発行され、失効した証明書のシリアル番号がリストアップされています。これを見ることで、利用者はその証明書がまだ有効なのか、それとも既に失効しているのかを確認できるというわけです。
簡単に言うと、CRLは「この証明書はもう使えませんよ」と教えてくれるブラックリストのようなものですね!
なぜCRLが必要なの?〜背景・経緯〜
X.509証明書は、有効期限が設定されているため、通常はその期限まで有効とみなされます。しかし、先に述べたように、有効期限内であっても証明書が無効になる必要が出てくることがあります。
CRLが登場する以前は、一度発行された証明書を途中で無効にする仕組みがありませんでした。これでは、もし秘密鍵が漏洩して悪用された場合、その証明書を使った不正な通信が行われてしまうリスクが残ります。
そこで、このようなリスクを回避し、デジタル証明書の信頼性を維持するために、失効した証明書を公開する仕組みとしてCRLが考案されました。これにより、CAは必要に応じて証明書を失効させ、その情報を利用者に周知できるようになり、PKI(公開鍵基盤)全体のセキュリティが向上しました。
CRLの仕組みを事例で見てみよう!
では、実際のWebサイトでの利用を例に、CRLの仕組みを見てみましょう。
- 証明書の発行
あるWebサイト「example.com」が、SSL/TLS通信を行うために認証局(CA)からX.509サーバー証明書を発行してもらいます。 - 鍵の漏洩
しかし、残念ながら「example.com」のサーバーがサイバー攻撃を受け、秘密鍵が漏洩してしまいました。このままでは、攻撃者がその秘密鍵を使って「example.com」になりすまし、ユーザーの情報を盗み取る可能性があります。 - 証明書の失効申請
「example.com」は、直ちにCAに連絡し、証明書の失効を申請します。 - CRLへの登録
CAは、申請を受けて「example.com」の証明書のシリアル番号をCRLに登録します。そして、定期的に新しいCRLを発行し、公開リポジトリに配置します。 - ブラウザでの確認
ユーザーが「example.com」にアクセスしようとした際、ユーザーのWebブラウザは、CAが公開している最新のCRLを取得し、アクセスしようとしているサーバー証明書がCRLに記載されていないかを確認します。 - 安全な接続の確立、または警告
- もし証明書がCRLに記載されていなければ、ブラウザはその証明書を有効とみなし、安全な接続を確立します。
- もし証明書がCRLに記載されていれば、ブラウザはその証明書が失効していると判断し、ユーザーに警告を表示したり、接続を拒否したりします。
このように、CRLはWebサイトの安全性を保つために、裏側で重要な役割を果たしているんです!
CRLにも課題が…
CRLは重要な役割を担っていますが、いくつか課題も抱えています。
1. CRLのサイズ問題
失効する証明書が増えれば増えるほど、CRLのサイズは大きくなります。これによって、CRLのダウンロードに時間がかかったり、クライアント側の処理に負荷がかかったりする可能性があります。特に、多数の証明書を発行する大規模なCAでは、この問題が顕著になります。
2. 更新頻度の問題
CRLは定期的に発行されますが、その発行間隔によっては、失効した証明書の情報がリアルタイムに反映されない「タイムラグ」が発生する可能性があります。例えば、CAが1日に1回CRLを発行する場合、CRLが更新されるまでの間は、既に失効した証明書が有効とみなされてしまうリスクがあります。
3. オフライン環境での利用
CRLは、クライアントがCAの公開リポジトリにアクセスしてダウンロードする必要があります。そのため、インターネットに接続できないオフライン環境では、CRLによる証明書の失効確認ができません。
CRLの課題に対する対策と今後の動向
CRLの課題を解決するために、様々な対策や新しい技術が登場しています。
1. Delta CRL(差分CRL)
CRLのサイズ問題を軽減するための一つの方法がDelta CRLです。これは、前回のCRL発行以降に新しく失効した証明書のみをリストアップするものです。これにより、ダウンロードするデータ量が大幅に削減され、効率的な運用が可能になります。
2. OCSP(Online Certificate Status Protocol)
CRLの更新頻度やサイズの問題を解決するより効果的な方法として、OCSP(オンライン証明書状態プロトコル)が広く利用されるようになっています。OCSPは、クライアントがCAのOCSPレスポンダーに個別の証明書のステータスをリアルタイムで問い合わせるプロトコルです。これにより、常に最新の失効情報を取得できるため、タイムラグの問題が解消されます。
今後の動向
OCSPの普及により、CRLの利用は減少傾向にありますが、完全にCRLがなくなるわけではありません。OCSPレスポンダーの可用性や、オフライン環境での利用など、それぞれのメリット・デメリットを考慮して、CRLとOCSPは共存していくと考えられます。
また、近年では、より迅速かつ効率的な証明書失効確認の仕組みとして、OCSP StaplingやCertificate Transparency (CT)といった技術も注目されています。これらの技術は、証明書の不正発行や悪用をより早期に検知し、防ぐことを目指しています。
情報処理安全確保支援士やネットワークスペシャリストを目指す皆さんには、CRLの基礎だけでなく、これらの新しい技術についても理解を深めていくことが、これからのセキュリティ分野で活躍するために非常に重要になってきます。
いかがでしたでしょうか?
今回は、X.509におけるCRLについて、その定義から背景、事例、課題、そして今後の動向までを解説しました。
CRLは、PKIにおける証明書の信頼性を維持するために欠かせない要素です。情報処理安全確保支援士やネットワークスペシャリストの試験対策はもちろん、実際の現場でも役立つ知識ですので、ぜひしっかりと理解を深めてくださいね!
さて、問題の解説です
X.509におけるCRLに関する記述のうち、適切なものはどれか。
ア RFC 5280では、認証局は、発行したデジタル証明書のうち失効したものについては、シリアル番号を失効後1年間CRLに記載するよう義務付けている。
イ Webサイトの利用者のWebブラウザは、そのWebサイトにサーバ証明書を発行した認証局の公開鍵がWebブラウザに組み込まれていれば、CRLを参照しなくてもよい。
ウ 認証局は、発行した全てのデジタル証明書の有効期限をCRLに記載する。
エ 認証局は、有効期限内のデジタル証明書が失効されたとき、そのシリアル番号をCRLに記載する。
エ 認証局は、有効期限内のデジタル証明書が失効されたとき、そのシリアル番号をCRLに記載する。
正解です。
- CRLには、有効期限内で失効した証明書のシリアル番号が掲載されます。
ア RFC 5280では、認証局は、発行したデジタル証明書のうち失効したものについては、シリアル番号を失効後1年間CRLに記載するよう義務付けている。
誤りです。
- RFC 5280では、「失効証明書をCRLにどれだけの期間保持するか」についての具体的な期間の義務付けはありません。
どれだけ保持するかはCAのポリシー次第です。
イ Webサイトの利用者のWebブラウザは、そのWebサイトにサーバ証明書を発行した認証局の公開鍵がWebブラウザに組み込まれていれば、CRLを参照しなくてもよい。
誤りです。
- たとえWebブラウザがそのCAの公開鍵を信頼していても、証明書が失効しているかどうかを確認するためにCRLやOCSPなどの失効確認手段が必要です。
信頼できるCAでも、証明書が途中で無効になることがあるため、失効確認は必須です。
ウ 認証局は、発行した全てのデジタル証明書の有効期限をCRLに記載する。
誤りです。
- CRLには「失効した証明書」のみが掲載されます。
有効な証明書はCRLには載りません。
