サーバー証明書・中間証明書・ルート証明書 さーばーしょうめいしょ・ちゅうかんしょうめいしょ・るーとしょうめいしょ
サーバー証明書中間証明書ルート証明書TLS証明書チェーンX.509
サーバー証明書・中間証明書・ルート証明書について教えて
簡単に言うとこんな感じ!
HTTPS通信を守る証明書には「ルート・中間・サーバー」の3階層があるよ。ルートは国(信頼の起点)、中間は都道府県(信頼を橋渡し)、サーバー証明書はパスポート(実際に使う証明書)みたいなイメージなんだ!
サーバー証明書・中間証明書・ルート証明書とは
HTTPS通信に使われる証明書は、3つの階層(チェーン) で構成されています。ブラウザは「ルート証明書 → 中間証明書 → サーバー証明書」の順に署名を検証することで、サーバーの正当性を確認します。
ルート証明書(Root Certificate) は信頼チェーンの最上位に位置し、認証局(CA)自身が自己署名したものです。Windows・macOS・Linuxのシステムや主要ブラウザにあらかじめ組み込まれているため、ユーザーは特別な操作なく信頼できます。
中間証明書(Intermediate Certificate) は、ルートCAとサーバー証明書の間に位置します。ルートCAの秘密鍵は安全性のためほぼオフラインで管理されるため、日常的な証明書発行は中間CAが代行します。
サーバー証明書(Server Certificate) は、Webサーバーに実際にインストールする証明書です。ドメイン名・公開鍵・有効期限・発行者などが記載されています。
3階層の比較
| 種類 | 署名者 | 保存場所 | 有効期限の目安 |
|---|---|---|---|
| ルート証明書 | 自己署名(CA自身) | OS・ブラウザに組み込み | 20〜25年 |
| 中間証明書 | ルートCAが署名 | サーバーと一緒に配布 | 2〜5年 |
| サーバー証明書 | 中間CAが署名 | Webサーバーにインストール | 最大398日(約13ヵ月) |
2020年以降、パブリックCAのサーバー証明書有効期限は最大398日に制限されています(CA/Browser Forumの決定)。
歴史と背景
- 1995年頃:SSL証明書の商用提供が始まる。当初は有効期限5年等が一般的
- 2011年:DigiNotar社のCAがハッキングされ偽証明書を大量発行。信頼チェーンの重要性が再認識される
- 2015年:Google ChromeがSHA-1証明書の廃止を段階的に開始
- 2017年:有効期限を2年に短縮(CA/Browser Forum)
- 2020年:Safari(Apple)が398日以上の証明書を拒否し、業界標準として定着
証明書チェーン(信頼チェーン)の検証フロー
関連する規格・RFC
| 規格・RFC番号 | 内容 |
|---|---|
| RFC 5280 | X.509 PKIにおける証明書とCRLのプロファイル |
| CA/Browser Forum TLS BR | サーバー証明書発行のベースライン要件 |
| RFC 8446 | TLS 1.3(証明書の提示方法を規定) |
関連用語
- PKI — 3階層の証明書体系が属する公開鍵基盤
- 認証局(CA) — 各層の証明書を発行・管理する機関
- Let’s Encrypt — 無償でDV証明書を発行するCA
- 証明書の有効期限と運用 — 証明書の更新・管理方法
- OCSP・CRL — 証明書が有効かどうかを確認する仕組み