認証局(CA) にんしょうきょく(しーえー)
認証局CAデジタル証明書信頼チェーンルートCA中間CA
認証局(CA)について教えて
簡単に言うとこんな感じ!
「このWebサイトは本物です」と保証するデジタル証明書を発行する機関だよ。国がパスポートを発行するように、CAが証明書を発行することでインターネット上の身元保証が成り立つんだ!
認証局(CA)とは
認証局(CA:Certificate Authority) とは、デジタル証明書の発行・管理・失効を行う信頼できる第三者機関です。WebサイトやメールサーバーなどがCA発行の証明書を持つことで、利用者はそのサービスが本物であることを確認できます。
CAはデジタル証明書にデジタル署名を付与することで、「この証明書は私(CA)が審査した正当なものです」と保証します。ブラウザやOSには数百のルートCAがあらかじめ登録されており、それらを信頼の起点として証明書の正当性が確認されます。
世界的に主要なCAとしては DigiCert、Sectigo(旧Comodo)、GlobalSign、Let’s Encrypt などがあります。国内では日本電子認証(JCAN)、セコムトラストシステムズなども証明書を発行しています。
CAの種類と役割
| 種類 | 説明 |
|---|---|
| ルートCA | 信頼の起点。自己署名証明書を持ち、OSやブラウザに組み込まれている |
| 中間CA | ルートCAから信頼を委譲された下位CA。実際の証明書発行を担当 |
| パブリックCA | 商用・無償の公開CA。WebサーバーやメールのSSL証明書を発行 |
| プライベートCA | 企業内部や特定コミュニティ向けの自社運営CA |
証明書の検証レベル(パブリックCA)
| 種類 | 英語名 | 審査内容 | 取得日数の目安 |
|---|---|---|---|
| DV証明書 | Domain Validation | ドメイン所有確認のみ | 数分〜数時間 |
| OV証明書 | Organization Validation | 組織の実在確認あり | 1〜3日 |
| EV証明書 | Extended Validation | 厳格な法人審査 | 1〜2週間 |
歴史と背景
- 1988年:X.509証明書フォーマットが標準化される
- 1995年:VeriSignが最初の商用CAとして証明書発行を開始
- 1999年:ブラウザにルートCA証明書が組み込まれる仕組みが確立
- 2011年:DigiNotarがハッキングされ偽証明書を大量発行。PKIの脆弱性が露呈し、証明書の透明性(CT)の議論が始まる
- 2013年:Googleが証明書の透明性(Certificate Transparency / CT) を導入
- 2015年:Internet Security Research Group(ISRG)がLet’s Encryptを設立・無償CA開始
- 2018年:ブラウザがEV証明書の「緑のアドレスバー」表示を廃止する方向に(ユーザーの認知率が低いため)
CAの証明書発行フロー
関連する規格・RFC
| 規格・RFC番号 | 内容 |
|---|---|
| RFC 5280 | X.509証明書とCRLのインターネット標準 |
| RFC 6962 | Certificate Transparency(証明書透明性) |
| CA/Browser Forum Baseline | CA業界の証明書発行ベースライン要件 |
関連用語
- PKI — CAが中核を担う公開鍵基盤
- サーバー証明書・中間証明書・ルート証明書 — CAが発行する各証明書の説明
- Let’s Encrypt — 無償DV証明書を自動発行するCA
- OCSP・CRL — CAが管理する証明書失効確認の仕組み