問題
問87
PKIにおいて、ある条件に当てはまるデジタル証明書の情報が公開されているリストとしてCRLがある。このリストに掲載される条件として、適切なものはどれか。
- 有効期間が満了している。
- 有効期間が無期限である。
- 有効期間内に失効している。
- 有効期間を延長している。
[出典:ITパスポート試験 令和7年度 問87]
スポンサーリンク
正解
正解は「ウ」です。
解説
CRL(Certificate Revocation List:証明書失効リスト)は、PKI(公開鍵基盤)において、すでに発行されたデジタル証明書のうち、有効期間内であっても何らかの理由で信頼できなくなったものを無効として公表するためのリストです。
たとえば、秘密鍵が漏洩してしまった場合や、証明書に記載された所属情報が変わった場合など、証明書が信頼できない状況になった場合は、有効期限を迎える前でもその証明書を「失効」させる必要があります。このように失効された証明書の情報はCRLに掲載され、利用者がそれを参照することで、信頼できない証明書を誤って使ってしまうことを防ぎます。
一方、有効期限が過ぎた証明書は自動的に無効となるため、CRLに掲載する必要はありません。また、有効期限の延長や無期限といった状況も、CRLの失効対象にはなりません。
したがって、CRLに掲載される条件は「有効期間内に失効している」が正解です。
ア(有効期間が満了している):
有効期限を過ぎた証明書は自動的に無効になるため、CRLに掲載する必要はありません。
イ(有効期間が無期限である):
無期限の証明書が存在すること自体が問題であり、CRLの掲載対象とは無関係です。
エ(有効期間を延長している):
有効期間が延長された場合でも、その証明書が信頼できなくなった訳ではないため、CRLには掲載されません。
難易度
この問題はPKIと証明書管理に関する基本的な知識を問う内容です。CRLの役割とその掲載条件を理解していればすぐに答えられますが、日常生活ではなじみのない用語のため、学習していないと混乱しやすいです。難易度は「ふつう」です。
スポンサーリンク
用語補足
CRL(Certificate Revocation List):
失効した証明書の一覧を記載したリストで、ユーザが信頼できない証明書を誤って使わないようにする仕組みです。
PKI(公開鍵基盤):
デジタル証明書を使って、安全な通信や本人確認を行う仕組みで、インターネット上の認証や暗号化に使われます。
対策
PKIやデジタル証明書に関する問題は毎年1問程度出題される傾向があります。特にCRLやOCSPなどの証明書失効に関する仕組みは頻出テーマです。用語だけでなく「なぜ必要なのか」「どんな場面で使われるのか」といった背景まで理解することが重要です。
