認証局 【CA】 Certificate Authority
概要
認証局(CA)とは、暗号通信などで必要となるデジタル証明書を発行する機関。公開鍵暗号やデジタル署名を利用する際、通信相手の公開鍵を認証局の発行した証明書の形で受け取ることで、すり替えや改竄が行われていないことを確かめることができる。
認証局には信頼の起点となる「ルート認証局」(root CA)と、証明書の発行を担う「中間認証局」(intermediate CA)があり、認証局間の信頼の連鎖によって安全性を担保する。インターネットにおけるデジタル証明書の運用体制を「PKI」(Public Key Infrastructure:公開鍵基盤)という。
ルート認証局と中間認証局
ルート認証局は上位の認証局による認証を受けず、自分の正当性を自ら証明する。他の認証局に対してデジタル証明書を発行し、認証局に対する信頼の拠り所となる。ルート証明書の信頼性は、厳しい監査を受けることや、認証業務運用規程(CPS)を公開すること、運用実績や知名度など、デジタル証明書以外の方法で示される。
ルート認証局以外の認証局が中間認証局で、上位の認証局からデジタル証明書を発行してもらうことで、自らの正当性を証明する。中間認証局の多くは一般にデジタル証明書を販売する事業者で、Webサーバに導入するSSLサーバ証明書などはここから購入する。
証明書検証の仕組み
通常、Webブラウザなどデジタル証明書を利用するソフトウェアには、ソフトウェアの発行元や利用者が信頼できるルート認証局の証明書が同梱されている。通信時に相手方の提示した証明書が信用できるかどうかは、発行元の認証局を調べ、さらにその認証局を認証している上位局を調べ…といった具合にたどっていき、最終的に自分の手元にあるルート証明書に一致するルート認証局にたどり着けば、信用できると確認できる。
なお、民間認証局の多くは証明書発行が有料であるため、Webサイトなどの中には、自らがルート認証局となって証明書を発行し、暗号化通信などを利用するサイトもある。そのようなサイトの場合、あらかじめ同梱されたルート認証局の認証は受けていないことになるため、Webブラウザなどがその旨警告するようになっている。
共有ボタンをタップ