セキュリティ
X.509証明書チェーンの検証手順として、最も適切な順序はどれか。
ア.エンドエンティティ証明書の有効期限を確認→ルートCAの公開鍵でサーバ証明書を検証→中間CAの失効チェック
イ.中間CA証明書の有効期限と失効を確認→エンドエンティティ証明書を中間CAで検証→ルートCAの信頼確認
ウ.ルートCA証明書がトラストアンカーに存在することを確認→中間CA証明書をルートCAの公開鍵で検証→エンドエンティティ証明書を中間CAの公開鍵で検証正解
エ.エンドエンティティ証明書を中間CAで検証→中間CA証明書をルートCAで検証→ルートCAをエンドエンティティで検証
解説
PKIの証明書チェーンは「信頼の根っこ(ルートCA)から葉っぱ(サーバ証明書)に向かって検証する」トップダウン方式。ルートCAという信頼の起点がないと検証が始まらない。
なぜ ウ が正解か
ウが正解。X.509チェーン検証手順:①ルートCA証明書がOSまたはブラウザのトラストストア(信頼のアンカー)に存在することを確認。②ルートCAの公開鍵で中間CA証明書の署名を検証、有効期限・失効状態(CRL/OCSP)を確認。③中間CAの公開鍵でエンドエンティティ(サーバ)証明書の署名を検証、有効期限・失効・SANを確認。信頼のチェーンはルートから順方向に辿る。
出典: AI生成問題(学習用)