中間証明書【intermediate certificate】中間CA証明書

概要

中間証明書（intermediate certificate）とは、デジタル証明書を発行する認証局(CA：Certificate Authority)自体のデジタル証明書。認証局の公開鍵が真正であることを示すためにルート認証局から発行される。

インターネットなどで公開鍵暗号を利用するには相手方の公開鍵を入手する必要があるが、相手が送ってきた公開鍵が伝送中に攻撃者によるすり替えや改竄に遭っていないか確かめる必要がある。そこで、信頼できる第三者によるデジタル署名を付与したデジタル証明書として送信し、受信側で署名を検証することがで真正性を確認する仕組みが用いられる。

信頼できる第三者としてデジタル証明書を発行する機関を「認証局」（CA：Certificate Authority）というが、署名の検証には認証局の公開鍵が必要なため、これを安全に入手する必要がある。世の中のすべての認証局の公開鍵を安全に揃えるのは困難なため、別の認証局が発行した中間証明書の形で公開鍵を入手する。

Webブラウザなどのデジタル証明書を利用するソフトウェアには、著名な認証局の証明書が登録済みとなっており、入手した中間証明書が組み込み済みの証明書で検証できれば、真正な認証局の公開鍵であるとみなすことができる。このような信用の起点となる認証局を「ルート認証局」（ルートCA）、そのデジタル証明書を「ルート証明書」という。

WebサーバでSSL/TLS通信を利用する場合には、認証局からSSLサーバ証明書の発行を受け、Webブラウザなどのクライアントに送信することが多いが、その際には認証局の中間証明書を同梱する。クライアント側では自身に内蔵されたルート認証局の証明書によって中間証明書を検証し、中間証明書によってサーバ証明書を検証するという2段階の検証を行う。

(2023.11.16更新)