SSL/TLSコラム

SSLサーバ証明書と認証局について

SSLサーバ証明書と認証局

SSLサーバ証明書は誰でも作成することができます。ただし、「本物」であることの証明は第三者に行ってもらわなければなりません。そこで、SSLサーバ証明書は、第三者機関である「認証局」に発行してもらい、申請者がそのSSLサイトの正当な所有者であることを確認した上で、サーバ証明書を発行します。

SSLサーバ証明書は第三者が発行しなければ無意味

SSLサーバ証明書は、実は誰でも作成することができます。そのような証明書でも「(1) 暗号通信に必要な「鍵」を安全にやり取りすること」の目的には充分使えます。暗号の強度にも問題はありません。
しかし、そのような証明書では、サイトが「本物」である証明はできません。自分で「自分は本物である」と主張しても証明にはなりません。「本物」であることの証明は第三者に行ってもらわなければなりません。そこで、SSLサーバ証明書は、第三者機関である「認証局」に発行してもらうことになります。認証局は、申請者がそのSSLサイトの正当な所有者であることを確認した上で、サーバ証明書を発行します。第三者によって偽のサイトに誘導されてしまうと、どんなに強力な暗号を使用していたとしても通信内容が第三者に筒抜けになってしまいます。

サーバ証明書はブラウザからの信頼の連鎖で検証する

Webブラウザなど、SSLを利用するソフトウェアや機器(以下、まとめて「ブラウザ」と呼ぶことにします)には、あらかじめ「ルート証明書」と呼ばれる証明書がインストールされています。
認証局が発行する証明書は、ブラウザにインストールされた「ルート証明書」のいずれかで電子署名が施されています。
あるいは、「ルート証明書」のいずれかで電子署名された「中間証明書」で、サーバ証明書に電子署名を施す場合もあります。
ブラウザは、サーバ証明書、それに電子署名を施した中間証明書、その中間証明書に電子署名した中間証明書・・・と、順を追って検証していきます。最終的にブラウザに登録されたルート証明書に行き着けば、そのサーバ証明書は信頼できる、と判断するわけです。
一方、サイト運営者が勝手に発行した証明書は、ルート証明書までたどることはできません。そのような証明書は「信頼できない」と判断されます。

自分で発行した証明書でも、たとえば運営者が直接ユーザに会い、USBメモリなどで持参した証明書をユーザのブラウザに直接インストールする、などの方法 を使えば、安全なSSL接続を提供することはできます。しかし、小規模なグループでの利用などならともかく、全世界の不特定多数のユーザが利用するオンラ インショップなどでは現実的ではありません。

サーバ証明書の発行に当たって、認証局はサイトや運営者の実在を審査します。この審査方法は、法的書類の確認や運営実態の確認を行うものから、より簡単な方法で個人でも容易に取得できるものまでまちまちです。
しかし、どのようなレベルの審査を行って発行されたかを、エンドユーザが簡単に確認できない、ということが従来の課題でした。
この課題を解決するために登場したのが「EV SSL証明書」です。EV SSL証明書は、米CA/Browser Forumにて規格が策定され、すべての認証局で統一された審査基準で審査を行います。また、EV SSLであることは、対応しているブラウザで容易に判別できる仕組みになっています。

ルート証明書は、ブラウザ開発者の定める基準に合格した認証局が発行し、ブラウザにインストールしてもらっています。

認証局の信頼性

いくらブラウザが認証局発行のサーバ証明書を信頼したとしても、認証局がずさんな発行業務を行っているようでは、SSLの信頼性そのものが失われてしまいます。 そこで認証局の運用には厳格な基準が定められています、特にルート証明書をブラウザに採用してもらうには、ブラウザベンダーの定めた条件に合格しなければなりません。 たとえば、マイクロソフト社は、Internet Explorer(およびMS-Windows)のルート証明書に採用する条件として、証明局が、米国公認会計士協会(AICPA)が主催するWebTrust CAの監査に合格することを求めています。Mozilla Firefoxなども、WebTrust CA監査の合格をルート証明書の採用の条件としています。

・Microsfot ルート証明書プログラム
・WebTrust(英語)

ルート証明書を提供している認証局は、ブラウザベンダーに認められた、もっとも信頼性が高い認証局であるということができます。


ルート証明書の確認方法

ブラウザにインストールされたルート証明書は、以下の手順で確認できます。

▼ Internet Explorerの場合
❶ 「ツール」-「インターネットオプション」を選択する
❷ 「コンテンツ」タブをクリックする 「証明書」ボタンをクリックする
❸ 「信頼されたルート証明機関」をクリックする

▼ Mozilla Firefoxの場合
❶ 「ツール」-「オプション」を選択する
❷ 「詳細」アイコンをクリックする
❸ 「暗号化」タブをクリックする
❹ 「証明書を表示」をクリックする
❺ 「認証局証明書」をクリックする

ページ上部へ戻る