インターネット上で安全に通信を行うためには、相手が「本物」であることを確認できなければなりません。その「本物であることの証明」を一手に引き受けているのが、認証局(CA:Certificate Authority)です。
これまで解説してきた「デジタル証明書」や「デジタル署名」において、信頼の根源として登場した認証局。今回は、その具体的な役割や、どのようにして世界中のWebサイトの信頼性を担保しているのか、その裏側を詳しく解説します。
認証局(CA)は「インターネット上の役所」
認証局を一言で言えば、デジタル証明書を発行する「信頼できる第三者機関」です。
現実世界で「印鑑証明書」を役所が発行するように、デジタル世界では認証局が「このドメイン(Webサイト)の所有者は、間違いなくこの組織です」というお墨付きを与えます。
認証局が発行した証明書があるからこそ、ブラウザは「SSL/TLS」による暗号化通信を開始する際に、相手を信用して良いと判断できるのです。
認証局の主な役割
認証局の仕事は、単に証明書を発行するだけではありません。主に以下の3つの役割を担っています。
① 証明書の発行
申請者の身元を厳格に審査し、問題がなければ「ハッシュ関数」等を用いたデジタル署名を付与して証明書を発行します。
② 証明書の失効管理
秘密鍵が盗まれたり、組織が解散したりして、有効期限内であっても証明書を無効にする必要が出た場合、そのリスト(「CRL:証明書失効リスト」)を作成・公開します。
③ 公開鍵の正当性証明
証明書の中に申請者の「公開鍵」を埋め込むことで、ユーザーが受け取った鍵が本物であることを保証します。これにより、中間者攻撃(なりすまし)を防ぎます。
信頼の階層構造:ルートCAと中間CA
世界中に膨大な数があるWebサイトの証明書を、一つの認証局だけで管理するのは不可能です。そのため、認証局は階層構造(信頼の連鎖)を作っています。
- ルートCA(Root CA): 信頼の頂点。自ら自分を証明する「自己署名証明書(ルート証明書)」を持ちます。OSやブラウザには、あらかじめ世界的に信頼されたルートCAの証明書が組み込まれています。
- 中間CA(Intermediate CA): ルートCAから証明権限を委託された認証局です。実務上、私たちが目にする多くの証明書は、この中間CAから発行されています。これにより、万が一トラブルがあってもルートCAの安全性を守ることができます。
パブリックCAとプライベートCA
認証局には、用途に応じて2つの種類があります。
- パブリックCA: 不特定多数が利用するインターネット上で信頼される認証局。厳しい審査基準(WebTrustなど)をクリアしており、世界中のブラウザに信頼されています。
- プライベートCA: 企業内や組織内の閉じられたネットワークで使用するために、独自に構築した認証局。社内システムやVPN接続など、特定の身内にだけ通じる「社内ルール」のようなものです。
【実務・試験対策】証明書失効の確認方法
証明書が有効かどうかは、期限だけでは不十分です。試験(FE/AP)でも頻出の「失効確認」の仕組みを2つ紹介します。
- CRL(Certificate Revocation List): 失効した証明書のシリアル番号をまとめたリスト。ブラウザがこのリストを定期的にダウンロードして照合します。
- OCSP(Online Certificate Status Protocol): リストをダウンロードするのではなく、オンラインで「この証明書、今生きてる?」とリアルタイムに問い合わせるプロトコルです。
まとめ
認証局は、インターネットにおける「信頼のインフラ」です。
- 第三者機関として、Webサイトや個人の正当性を証明する。
- ルートCAを頂点とする階層構造によって、世界規模の信頼を維持している。
- CRLやOCSPを用いて、期限切れ以外の「無効な証明書」も管理している。
私たちの通信が「鍵マーク」で守られているのは、その裏側で厳格な審査と管理を行う認証局が存在しているからに他なりません。
コメント