Zenn
📘

情報処理安全確保支援士 平成31年春 問1

に公開
情報処理安全確保支援士
tech

CRL(Certificate Revocation List)に掲載されるものはどれか。

ア 有効期限切れになったデジタル証明書の公開鍵
イ 有効期限切れになったデジタル証明書のシリアル番号
ウ 有効期限内に失効したデジタル証明書の公開鍵
エ 有効期限内に失効したデジタル証明書のシリアル番号

回答

「エ」が適切な説明です。

CRLとは?

一言でいうと「無効になった身分証明書のブラックリスト」です
インターネットの世界では、ウェブサイトが「私は本物ですよ」と証明するために 「デジタル証明書」という、いわばインターネット上の身分証明書 を持っています。

しかし、この身分証明書が、何らかの理由で「もう信用できない」状態になることがあります。例えば、

  • 証明書を管理する大切な 「鍵」が盗まれてしまった 場合(家の合鍵を泥棒に盗まれたような状態)
  • ウェブサイトの運営をやめてしまった場合
  • 証明書に書かれている情報が間違っていた場合

こんなとき、「この身分証明書はもう無効ですよ!」とお知らせするためのリストが CRL(Certificate Revocation List:証明書失効リスト) です。

身近な例で言うと、運転免許証の「免許取消者リスト」や、クレジットカードの「盗難・紛失カードのブラックリスト」のようなものだとイメージしてください。お店が決済時に無効なカードでないかチェックするように、あなたのパソコンもウェブサイトが安全か、このリストを使ってチェックしているのです。

この仕組みは、どのように動いているの?誰が管理しているの?

CRLの仕組みは、大きく分けて3つの登場人物によって動いています。

  • 認証局(CA:Certificate Authority)

役割:デジタル証明書を発行し、CRLを管理する 「身元保証のプロ」 です。インターネット上の「公証役場」や「免許センター」のような信頼できる第三者機関です。
管理:CRLを作成し、定期的に更新して公開する責任を負っています。

  • ウェブサイトの運営者

役割:自分のウェブサイトの「身分証明書」であるデジタル証明書を認証局から発行してもらいます。

  • あなたのパソコンのブラウザ(Chrome, Edge, Safariなど)

役割:ウェブサイトにアクセスする際に、そのサイトが本物で安全かを確認します。
この3者で、以下のような流れで仕組みが動いています。

【CRLの仕組み】

  • 失効の依頼
    ウェブサイトの運営者が「鍵が盗まれた!」などの理由で、証明書を発行してもらった認証局に「この証明書を無効にしてください」と依頼します。

  • リストの作成と公開
    依頼を受けた認証局は、その証明書のシリアル番号を「CRL(失効リスト)」に追記します。そして、最新版のCRLをインターネット上の誰でもアクセスできる場所に公開します。(通常は1日に1回など、定期的に更新されます)

  • ブラウザによる確認
    あなたがウェブサイトにアクセスすると、あなたのパソコンのブラウザが、そのサイトからデジタル証明書を受け取ります。

  • リストとの照合
    ブラウザは、証明書に書かれている「発行元の認証局」の情報を読み取り、その認証局が公開しているCRLをダウンロードしにいきます。そして、「このサイトの証明書番号は、失効リストに載っていないかな?」と照合します。

  • 安全性の判断
    リストに載っていない場合:「OK!この証明書は信用できる」と判断し、サイトを安全に表示します(アドレスバーに鍵マークがつきます)。
    リストに載っていた場合:「危険!この証明書は無効だ!」と判断し、「この接続ではプライバシーが保護されません」といった警告画面を表示して、あなたを守ります。

このように、CRLは私たちが気づかないところで、安全なインターネット利用を支える「縁の下の力持ち」のような役割を果たしているのです。

この仕組みを具体的に確認する方法

専門家でなくても、CRLがどこで公開されているか(配布場所)を簡単に見ることができます。ここでは、多くの人が使っているGoogle Chromeを例にご紹介します。

  1. 安全なウェブサイト(例: https://www.google.com)にアクセスします。

  2. アドレスバーの左側にある鍵のマークをクリックします。

  3. 表示されたメニューから 「この接続は保護されています」をクリックし、次に「証明書は有効です」 をクリックします。

  4. 証明書の詳細情報が表示されるウィンドウが開きます。 「詳細」 タブをクリックします。

  5. 証明書のフィールド一覧の中から、 「CRL 配布ポイント (CRL Distribution Points)」 という項目を探してクリックします。

  6. 下のボックスにURLが表示されます。これが、この証明書に対応するCRLが置かれている場所です。

試しにこのURLをコピーしてブラウザのアドレスバーに貼り付けてアクセスすると、.crlという拡張子のファイルがダウンロードされます。これがCRLファイルの正体です。(※ファイルの中身は専門的なデータなので、開いても文字列の羅列に見えるだけです)

このように、すべての正規の証明書には「もしもの時の失効リストは、ここにありますよ」という情報がきちんと書き込まれており、ブラウザはこの情報を頼りに安全性をチェックしているのです。

まとめ

  • CRLとは:無効になったデジタル証明書(インターネット上の身分証明書)のブラックリスト。
  • 管理元:認証局(CA)という信頼された第三者機関。
  • 仕組み:ブラウザがウェブサイトを見るたびに、認証局が公開するCRLと照合して、危険なサイトでないかチェックしている。
  • 確認方法:ブラウザの鍵マークから、証明書の詳細情報を見ることで、CRLの配布場所(URL)を確認できる。
    この仕組みがあるおかげで、私たちは安心してオンラインショッピングやネットバンキングなどを利用することができます。

※この回答はAIを利用して作成しています。
 内容に不備がないかは確認していますが、もし問題があった場合は指摘いただけますと幸いです。

Discussion