読み方 : しょうめいしょチェーン
証明書チェーン【certificate chain】
証明書チェーンとは?
デジタル証明書は、サーバや個人が本物であることを保証するための電子的な文書だが、証明書単体では信頼の根拠を持ち得ない。そこで、信頼できる第三者機関である「認証局」(CA:Certificate Authority)がデジタル署名を施すことで、証明書の正当性を担保する。しかし、認証局自身も別の機関から信頼を与えられる必要があり、こうして署名が積み重なる連鎖構造が生まれる。
この連鎖の頂点に立つのが「ルート認証局」(RCA:Root Certificate Authority)である。ルート認証局は上位機関を持たず、自らを保証する「自己署名証明書」を持つ。社会的信用の高いルート認証局の証明書はオペレーティングシステム(OS)やWebブラウザにあらかじめ組み込まれており、利用者が意識しないままチェーン全体の信頼の起点として機能する。ルート認証局の下には「中間認証局」が置かれ、一般のWebサイト運営者などに対して証明書を発行する役割を担う。
WebブラウザがHTTPSでWebサイトに接続すると、サーバから証明書と発行元の中間認証局の証明書が送られてくる。ブラウザはその署名をたどり、中間認証局からルート認証局へと順にさかのぼって検証を行う。チェーンが途切れていたり、信頼されていない認証局が含まれていたりすると、警告が表示されて通信が遮断される。証明書の有効期限や失効情報の確認もこの検証過程に含まれる。
中間認証局を挟む構造には、セキュリティ上の利点がある。ルート認証局の秘密鍵を厳重に保管したまま、証明書の発行業務を中間認証局に分散できるためである。万一、中間認証局に問題が生じても、その系統のチェーンだけを無効化すれば対処でき、インターネット全体の信頼基盤への影響を最小限に抑えられる。
共有ボタンをタップ