プライベート認証局【private certificate authority】プライベートCA

概要

プライベート認証局（private certificate authority）とは、公開鍵暗号に基づくデジタル証明書を発行する認証局のうち、外部の審査や上位局による認証などを行わずに個人や法人が任意に立ち上げて運用しているもの。

公開鍵暗号で通信を行うには、相手方の公開鍵がすり替えや改竄などされておらず確かに本人のものであると確認する仕組みが必要で、認証局（CA：Certificate Authority）が発行したデジタル証明書で確かめるのが一般的となっている。

認証局を攻撃者が運用していたり乗っ取られては元の子もないため、インターネット上で流通する証明書の発行元（パブリック認証局）については、すでに世間で広く信頼されているルート認証局による認証や、業界団体や公的機関などの審査や監査など、事業者としての信用を担保する仕組みが整備されている。

プライベート認証局はこうした仕組みを用いずに個人や法人が任意に立ち上げる認証局で、上位局の認証を受けず自らを信用の起点とするルート認証局として振る舞う。企業内ネットワークなど、その認証局の信用を前提とすることができる閉じた特定の範囲だけで通用する証明書の発行に用いられる。

インターネット上でプライベート認証局を立ち上げてSSL/TLSサーバ証明書を発行し、WebサイトへのHTTPS通信に適用するといったことも技術的には可能で、実際に行っている例も見られるが、第三者による検証ができず不適切であるとされる。このような公開プライベート認証局を俗に「オレオレ認証局」、その発行する証明書を「オレオレ証明書」と呼ぶことがある。

(2023.11.11更新)