ルート証明書 【root certificate】
概要
ルート証明書(root certificate)とは、デジタル証明書を発行する認証局が自らの正当性を証明するために自ら署名して発行した自己署名証明書のうち、公開鍵暗号を利用するソフトウェアに直に組み込まれたもの。そのソフトウェアの開発者や利用者が信用する認証局の証明書であり、デジタル署名を検証する際の信用の起点として用いられる。通信に公開鍵暗号を利用するには暗号文の送信者の公開鍵を受信者が安全に入手する必要があり、送信者が公開鍵に第三者のデジタル署名を付したデジタル証明書を受信者に渡すという方法がよく用いられる。デジタル証明書を発行する第三者を認証局(CA:Certificate Authority)というが、その署名が信用できるか確かめるには認証局の公開鍵を安全に入手して検証しなければならない。
そのためには上位の認証局が署名して発行した認証局自身のデジタル証明書を入手すればよいが、その署名が信用できるか確かめるにはさらに上位の認証局の発行した証明書を入手して…という具合に、限りなく上位の認証局をたどっていかなければならなくなってしまう。
このため、Webブラウザなど公開鍵暗号を利用するソフトウェアの開発者は、世界的に有力な大手の商用認証局や政府機関の認証局など、信頼するに足ると思う機関が自ら発行する証明書を事前に入手して組み込んでおき、証明書を上位にたどっていった結果その機関の証明書に行き当たったら正しく検証されたと判断するようにしている。
この信用の連鎖により安全に公開鍵暗号を運用する社会的な基盤のことをPKI(Public Key Infrastructure/公開鍵基盤)と呼び、その最上位に位置する機関をルート認証局(ルートCA)、その発行する自らのデジタル証明書をルート証明書という。
通常はソフトウェアの開発時にあらかじめ組み込まれたものを指すが、利用者が安全に入手した証明書をソフトウェアに登録してルート証明書とすることもできるようになっている場合もある。特定の国や企業の内部で通用するルート証明書などは利用者側で導入して有効にする場合がある。
(2018.7.23更新)
共有ボタンをタップ