セキュリティ
デジタル証明書の失効確認方式に関する記述として、最も適切なものはどれか。
ア.CRL(Certificate Revocation List)は、認証局の秘密鍵漏えい時に新規発行する代替証明書のリストで、有効な証明書だけを列挙する。
イ.CRLは認証局が発行する「失効済み証明書のシリアル番号一覧」で、検証側が定期的にダウンロードして自分が受け取った証明書が含まれていないかチェックする。OCSP(Online Certificate Status Protocol)はOCSPレスポンダにシリアル番号を問い合わせて即時に失効状態を確認できる方式で、TLSサーバが自分で取得したOCSP応答を提示するOCSP staplingにより遅延とプライバシ問題を改善できる。正解
ウ.OCSPは証明書発行のためのプロトコルで、CSR(Certificate Signing Request)の送信に使用される。
エ.CRLとOCSPはどちらも証明書の暗号化を目的としており、失効確認とは無関係である。
解説
CRLは「指名手配書の冊子を毎日ダウンロード」する古典スタイル、OCSPは「窓口に電話して有効性を即確認」するオンラインスタイル。OCSPステープリングはサーバが事前に確認結果を取って提示する「店員が代行確認」方式で、確認の手間を肩代わりします。
なぜ イ が正解か
イが正解。CRLは認証局(CA)が定期発行する失効済み証明書シリアル番号のリストで、ブラウザ等は事前にダウンロードして照合する(ファイルサイズが肥大化する問題あり)。OCSPはOCSPレスポンダに「このシリアル番号の証明書、有効?」とリアルタイム問い合わせする方式。OCSP staplingはTLSハンドシェイク時にサーバが事前取得したOCSP応答を一緒に送ることで、クライアント→OCSP問い合わせの遅延とプライバシ問題(CAが利用者IPを知る)を解決する。
出典: AI生成問題(学習用)