H29年秋の午後Ⅰ問3を解いた

支援士の試験申込した。
itecの模試も申し込んだ。
午後問題対策のテキスト（https://www.itec.co.jp/store/products/detail.php?product_id=3855）に載っている問題が何についての問題なのかを一覧化した。これ2023年のだけど2024年版も買ったほうがいいのかな？そんな変わらないよな？
第2章のひとつめがSSL/TLSを用いたサーバ設定と運用だったので解いた。H29年秋の午後Ⅰ問3。25分かかった。
https://www.ipa.go.jp/shiken/mondai-kaiotu/gmcbt8000000fqpm-att/2017h29a_sc_pm1_qs.pdf

設問2
(1) サーバ証明書ってなんで失効申請しないといけないの?他で使いまわしされてドメインが不利益をこうむるとか?1つのサーバが同時に複数のサーバ証明書を使うことってできないの?
→ 異なるポートで異なる証明書を設定することは可能。また、SNI(Server Name Indication)を
利用してクライアントが接続したいホスト名を指定してサーバが適切な証明書を選択できる。indicationは「表示」。メインドメインにEV証明書、サブドメインにDV証明書はあるかも。技術的には可能だが、管理が複雑になるしEV証明書を利用するほうが信頼性が高いので普通はEV証明書を利用する。
また、多くのCA(証明書発行機関)は証明書が危たい化したらすぐ失効申請することを要求している。
(2)「当該鍵を使用していたサーバの利用者」ってサーバを誰かと共同で利用していたのかと思ってたけどECサイトの利用者ってこと?
(3) 7文字以内とか思わせぶりなこと指定して
くるから「ディジタル署名」とか書いちゃったよ。ぼけ

設問3
(1) PFSに対応していないことが改善点として
あげられていたから「TLS1.3を利用するよう
にした」って回答した。「利用可能なプロトコルのバージョン」にTLS1.3がないからそれを選んじゃいけなかったのか。あー
(2) AESとRSAはPFSの性質を持たない。DH鍵交換に関連するDHE, ECDHEが答え。AESは鍵交換を行わない。RSAはDH鍵交換方式と違う方法で鍵交換する。
(4)「ドメイン証明書はドメインが利用可能であることを保証するため、誰でも取得できるから」と回答したんだけどこれ部分点もらえるのかな?