メインコンテンツへ
セキュリティ

認証局(CA:Certificate Authority)とデジタル証明書に関する記述として、適切なものはどれか。

ア.認証局は利用者の秘密鍵を安全に保管・管理する機関である。
イ.認証局は証明書の有効期限が切れても、その証明書を引き続き使用することを推奨している。
ウ.自己署名証明書(オレオレ証明書)は、信頼された認証局が発行した証明書と同等の信頼性を持つ。
エ.デジタル証明書には、所有者の公開鍵と認証局の電子署名が含まれており、公開鍵の正当性を証明する。正解

解説

デジタル証明書は「認証局が発行した身分証明書」です。この証明書を見せれば「この公開鍵は確かに本人のもの」と第三者が保証してくれます。パスポートに外務省の押印があるのと同じ仕組みです。

なぜ エ が正解か

デジタル証明書(X.509形式)には、所有者の情報・公開鍵・有効期限・認証局の電子署名が含まれます。ブラウザはルート認証局の証明書を事前に信頼リストに持っており、証明書の署名を検証することでサーバの公開鍵が本物かどうかを確認します。これによって中間者攻撃(なりすまし)を防ぎます。

なぜ ア は間違いか

認証局は利用者の秘密鍵を保管・管理しません。秘密鍵はあくまで所有者自身が管理するものです。認証局の役割は「公開鍵が本当に本人のものであること」を証明する第三者機関であって、秘密鍵の保管業者ではありません。

なぜ イ は間違いか

有効期限切れの証明書は引き続き使用すべきではありません。証明書に期限があるのは、鍵が漏洩した場合のリスクを限定するためです。有効期限切れは「免許証が切れた」状態であり、更新が必要です。

なぜ ウ は間違いか

自己署名証明書は自分で自分に署名したものであり、第三者による信頼の連鎖(トラストチェーン)がありません。開発・テスト環境では使えますが、ブラウザは警告を表示し、信頼された認証局の証明書と同等の信頼性は一切ありません。

出典: AI生成問題(学習用)