デジタル証明書と認証局 (CA) MOC
定義
デジタル証明書は公開鍵をドメイン名や組織などの主体へ結び付ける署名付きデータであり、**認証局(CA)**はその結び付きを検証して証明書へ署名する信頼主体である。Web PKIでは、ブラウザやOSが信頼するルートCAを起点に、中間CA、サーバ証明書へ至る証明書チェーンを検証する。
仕組みと具体例
HTTPS接続では、サーバが証明書チェーンと公開鍵を提示する。クライアントは各証明書の署名、有効期間、用途、接続先ホスト名を検証する。検証に成功すると、TLSハンドシェイクで証明した秘密鍵の所持と組み合わせて接続先を認証できる。証明書は通信内容そのものを暗号化するのではなく、TLSが使う公開鍵と主体の対応を保証する。
対策と検証
秘密鍵をアクセス制御された環境に保管し、証明書の期限前更新を自動化する。サーバは中間証明書を含む正しいチェーンを配布し、クライアントは証明書エラーを無視しない。Certificate Transparencyログは誤発行の検知に、失効情報は侵害後の無効化判断に利用される。
限界と運用上の注意
CAへの信頼は委譲されるため、いずれかの信頼済みCAによる誤発行や秘密鍵侵害が影響し得る。また、正規証明書を持つサイトでも内容が安全とは限らない。証明書検証は接続先と公開鍵の対応を確認する仕組みであり、アプリケーションの脆弱性や運営者の信頼性まで保証しない。