令和7年度 ITパスポート試験 公開問題 問87 解説 PKIとCRL

問87 PKI において，ある条件に当てはまるデジタル証明書の情報が公開されているリストとして CRL がある。このリストに掲載される条件として，適切なものはどれか。

CRL（証明書失効リスト）とは

この問題は、PKI（公開鍵基盤）におけるCRL（Certificate Revocation List：証明書失効リスト）の役割についての理解を問うています。CRLは、本来有効であるはずのデジタル証明書が、何らかの理由で利用できなくなった場合に、その情報が公開されているリストです。

正解は「有効期間内に失効している」です。

なぜ「有効期間内に失効している」が正しいのか

デジタル証明書は、発行された時点から有効期限まで利用できるのが原則です。しかし、以下のような理由で、有効期限が到来する前に証明書が効力を失うことがあります。

• 秘密鍵の漏洩: 証明書と対になる秘密鍵が第三者に漏洩した場合、なりすましなどの不正利用を防ぐために、証明書を直ちに無効にする必要があります。
• 登録情報に変更があった: 証明書に登録されている情報（組織名、担当者名など）に変更があった場合、証明書を更新または失効させる必要があります。
• 証明書の発行者が破産・閉鎖した場合: 証明書を発行した認証局（CA）が事業を停止した場合、そのCAが発行した証明書は信頼性が失われるため、失効の対象となります。

CRLは、このような「有効期間内であっても、何らかの理由で無効となった証明書」の識別情報（シリアル番号など）を一覧にしたものです。システムは、証明書を利用する際に、その証明書がCRLに掲載されていないかを確認することで、有効な証明書であるか否かを判断します。

その他の選択肢がなぜ間違いなのか

• 有効期間が満了している: 有効期間が満了した証明書は、もともと失効している状態です。CRLは、有効期間内であるにも関わらず失効した証明書を管理するためのものであり、単に満了した証明書を載せるものではありません。
• 有効期間が無期限である: デジタル証明書には必ず有効期限があります。無期限の証明書は存在しません。
• 有効期間を延長している: 証明書の有効期間を延長する手続きは、通常、既存の証明書を失効させてから新しい証明書を発行する形で行われます。延長そのものがCRLに載る条件ではありません。

PKIとCRLの活用場面

PKIは、インターネット上での安全な通信や電子商取引を支える基盤技術です。例えば、HTTPS通信でウェブサイトの正当性を確認したり、電子署名によって文書の改ざんやなりすましを防いだりする際に、デジタル証明書とPKIの仕組みが利用されています。

CRLは、これらのPKIの仕組みにおいて、証明書の信頼性を担保するための非常に重要な役割を担っています。もしCRLがなければ、漏洩した秘密鍵を持つ不正な証明書を、あたかも正規の証明書であるかのように利用されてしまう危険性があるため、CRLによる失効証明は不可欠な機能と言えます。

参考リンク

• 【ITパスポート】令和3年度秋期問87 CRLとは【過去問解説】 - YouTube
• 公開鍵証明書失効リスト (CRL) とは - Zenn
• RFC 5280 - Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile