sg security_general crypto_auth risk_assessment sg-security-overview
まず結論
- CRL(証明書失効リスト)は「有効期限内でも使ってはいけない証明書」を一覧にしたもの
- SG試験では「有効期限」と「失効」の違いを理解できているかが問われる
直感的な説明
CRLは「ブラックリスト」です。
たとえば社員証を考えてみてください。
有効期限がまだ残っていても、退職した人のカードは使えませんよね。
同じように、デジタル証明書も
まだ期限内でも“使ってはいけない状態”になることがある
→ その情報をまとめたのがCRLです。
定義・仕組み
CRL(Certificate Revocation List)は、認証局(CA)が発行する
失効した証明書の一覧です。
ポイント
- 対象:失効した証明書のみ
- 有効期限とは別管理
- 定期的に更新される
なぜ必要か
証明書は通常、有効期限内であれば使えますが、次のような場合は危険です。
- 秘密鍵が漏えいした
- 所有者情報に誤りがあった
- 利用者が退職・異動した
このような場合、有効期限内でも強制的に無効(失効)にする必要があります。
→ その結果がCRLに掲載されます
SG試験では
「有効期限が残っている=安全」ではない
と理解しているかが重要です。
どんな場面で使う?
使う場面
- Webサイトの証明書確認(HTTPS通信)
- 社内システムの証明書認証
- 電子署名の検証
→ 「この証明書はまだ使っていいのか?」を確認するために使う
業務での判断ポイント
- 証明書は期限だけでなく「失効確認」が必要
- CRLやOCSPを使ってチェックする運用が重要
使うと誤解しやすい場面
- 有効期限内だから安全と判断してしまう
- CRLを見ずに証明書を信用してしまう
よくある誤解・混同
① 有効期限と失効の混同
- 有効期限:時間による期限切れ
- 失効:途中で使えなくする措置
→ SG試験ではここをよくひっかけてきます
② CRLはすべての証明書を載せる
→ 誤り
CRLは
失効した証明書だけを載せる
③ 公開鍵があればCRLは不要
→ 誤り
公開鍵があっても
その証明書が失効している可能性があるため確認が必要
④ 失効後は一定期間必ず登録される
→ 誤り
登録期間は固定ではなく、
認証局のポリシーに依存する
SG試験での典型ひっかけ
- 「有効期限内だからCRL不要」→誤り
- 「すべての証明書を登録」→誤り
- 「失効=期限切れ」→誤り
まとめ(試験直前用)
- CRLは「失効した証明書の一覧」
- 有効期限内でも失効は起こる
- 「期限内=安全」は誤り
- CRLは“ブラックリスト”と覚える
- SG試験では「期限」と「失効の違い」を見抜く
🔗 関連記事
- 情報資産台帳とは?リスク管理の出発点を整理【情報セキュリティマネジメント】
- 攻撃者の種類とは?目的と特徴で整理する【情報セキュリティマネジメント】
- 認証・認可・アクセス制御の違いとは?役割の切り分けを整理【情報セキュリティマネジメント】
- 認証方式とは?3要素と多要素認証を整理【SG試験】
- ブロック暗号とストリーム暗号の違いとは?暗号方式を整理【SG試験】