ルートCA 【root certificate authority】 ルート認証局 / Root CA

概要

ルートCA(root certificate authority)とは、デジタル証明書認証局の種類の一つで、上位の認証局による認証を受けず、自分の正当性を自ら証明する認証局。ルートCAが自ら署名して作成した自らの証明書ルート証明書という。

通信公開鍵暗号を利用するには暗号文の送信者の公開鍵を受信者が安全に入手する必要があり、送信者が公開鍵に第三者のデジタル署名を付したデジタル証明書を受信者に渡すという方法がよく用いられる。デジタル証明書を発行する第三者を認証局CACertificate Authority)というが、その署名が信用できるか確かめるには認証局公開鍵を安全に入手して検証しなければならない。

そのためには上位の認証局署名して発行した認証局自身のデジタル証明書を入手すればよいが、その署名が信用できるか確かめるにはさらに上位の認証局の発行した証明書を入手して…という具合に、限りなく上位の認証局をたどっていかなければならなくなってしまう。

このため、Webブラウザなど公開鍵暗号を利用するソフトウェアの開発者は、世界的に有力な大手の商用認証局や政府機関の認証局など、信頼するに足ると判断した機関が自ら発行する証明書を事前に入手して組み込んでおき、証明書を上位にたどっていった結果その機関の証明書き当たったら正しく検証されたと判断するようにしている。

この信用の連鎖により安全に公開鍵暗号運用する社会的な基盤のことをPKIPublic Key Infrastructure/公開鍵基盤)と呼び、その最上位に位置する機関をルートCA、その発行する自らのデジタル証明書をルートCAという。

ルートCAの信頼性は、外部機関による厳しい監査を受けることや、認証業務運用規程(CPS)を公開すること、運用実績や知名度など、デジタル証明書以外の方法で示される。ルートCA以外の認証局中間CAICA:Intermediate CA/中間認証局)と呼ばれ、ルートCAや上位の中間CAからデジタル証明書を発行してもらい、自らの正当性を証明する。

世界にあまたある認証局のうちどの機関をルートCAとみなすかはそれぞれのソフトウェアの開発者が決めるため、ソフトウェアによってルートCAは異なることがある。また、多くのソフトウェアには利用者がルートCAとみなす認証局証明書を追加する仕組みが備わっており、例えば、利用者の居住地の政府機関の発行したルート証明書などを後から組み込むことができるようになっている。

(2019.1.22更新)

他の辞典による解説 (外部サイト)

この記事の著者 : (株)インセプト IT用語辞典 e-Words 編集部
1997年8月より「IT用語辞典 e-Words」を執筆・編集しています。累計公開記事数は1万ページ以上、累計サイト訪問者数は1億人以上です。学術論文や官公庁の資料などへも多数の記事が引用・参照されています。
ホーム画面への追加方法
1.ブラウザの 共有ボタンのアイコン 共有ボタンをタップ
2.メニューの「ホーム画面に追加」をタップ
閉じる