認証局 【CA】 Certificate Authority

概要

認証局には信頼の起点となる「ルート認証局」（root CA）と、証明書の発行を担う「中間認証局」（intermediate CA）があり、認証局間の信頼の連鎖によって安全性を担保する。インターネットにおけるデジタル証明書の運用体制を「PKI」（Public Key Infrastructure：公開鍵基盤）という。

ルート認証局と中間認証局

ルート認証局は上位の認証局による認証を受けず、自分の正当性を自ら証明する。他の認証局に対してデジタル証明書を発行し、認証局に対する信頼の拠り所となる。ルート証明書の信頼性は、厳しい監査を受けることや、認証業務運用規程（CPS）を公開すること、運用実績や知名度など、デジタル証明書以外の方法で示される。

ルート認証局以外の認証局が中間認証局で、上位の認証局からデジタル証明書を発行してもらうことで、自らの正当性を証明する。中間認証局の多くは一般にデジタル証明書を販売する事業者で、Webサーバに導入するSSLサーバ証明書などはここから購入する。

証明書検証の仕組み

通常、Webブラウザなどデジタル証明書を利用するソフトウェアには、ソフトウェアの発行元や利用者が信頼できるルート認証局の証明書が同梱されている。通信時に相手方の提示した証明書が信用できるかどうかは、発行元の認証局を調べ、さらにその認証局を認証している上位局を調べ…といった具合にたどっていき、最終的に自分の手元にあるルート証明書に一致するルート認証局にたどり着けば、信用できると確認できる。

なお、民間認証局の多くは証明書発行が有料であるため、Webサイトなどの中には、自らがルート認証局となって証明書を発行し、暗号化通信などを利用するサイトもある。そのようなサイトの場合、あらかじめ同梱されたルート認証局の認証は受けていないことになるため、Webブラウザなどがその旨警告するようになっている。