メインコンテンツへ
セキュリティセキュリティ応用

デジタル証明書の失効確認方式に関する記述として、最も適切なものはどれか。

ア.CRL(Certificate Revocation List)は、認証局の秘密鍵漏えい時に新規発行する代替証明書のリストで、有効な証明書だけを列挙する。
イ.CRLは認証局が発行する「失効済み証明書のシリアル番号一覧」で、検証側が定期的にダウンロードして自分が受け取った証明書が含まれていないかチェックする。OCSP(Online Certificate Status Protocol)はOCSPレスポンダにシリアル番号を問い合わせて即時に失効状態を確認できる方式で、TLSサーバが自分で取得したOCSP応答を提示するOCSP staplingにより遅延とプライバシ問題を改善できる。正解
ウ.OCSPは証明書発行のためのプロトコルで、CSR(Certificate Signing Request)の送信に使用される。
エ.CRLとOCSPはどちらも証明書の暗号化を目的としており、失効確認とは無関係である。

解説

CRLは「指名手配書の冊子を毎日ダウンロード」する古典スタイル、OCSPは「窓口に電話して有効性を即確認」するオンラインスタイル。OCSPステープリングはサーバが事前に確認結果を取って提示する「店員が代行確認」方式で、確認の手間を肩代わりします。

なぜ イ が正解か

イが正解。CRLは認証局(CA)が定期発行する失効済み証明書シリアル番号のリストで、ブラウザ等は事前にダウンロードして照合する(ファイルサイズが肥大化する問題あり)。OCSPはOCSPレスポンダに「このシリアル番号の証明書、有効?」とリアルタイム問い合わせする方式。OCSP staplingはTLSハンドシェイク時にサーバが事前取得したOCSP応答を一緒に送ることで、クライアント→OCSP問い合わせの遅延とプライバシ問題(CAが利用者IPを知る)を解決する。

なぜ ア は間違いか

CRLは「失効済み」証明書のリストであり、有効な証明書のリストではない。発行替えのリストでもない。基本的な定義を逆に覚えた誤り。

なぜ ウ は間違いか

証明書発行のリクエストはCSR(Certificate Signing Request)でCAに送るプロセスであり、OCSPは関係ない。OCSPは「すでに発行済みの証明書が失効していないか」を確認する別目的のプロトコル。

なぜ エ は間違いか

CRL・OCSPはまさに失効確認のための仕組みであり、暗号化が目的ではない。証明書自体の暗号化はTLS等での通信暗号化と別レイヤの話。

出典: AI生成問題(学習用)