// シス担のミカタ
TLS・PKI・証明書

GlobalSign ぐろーばるさいん

SSL証明書認証局(CA)PKIルート証明書コードサイニングタイムスタンプ
GlobalSignについて教えて

簡単に言うとこんな感じ!

GlobalSignは「インターネット上の身分証明書を発行している機関」だよ!ウェブサイトの鍵マーク(HTTPS)を実現するSSL/TLS証明書を発行する世界的な認証局(CA)で、「このサイトは本物ですよ」ってお墨付きを与える会社なんだ!

GlobalSignとは

GlobalSignは、1996年にベルギーで設立された老舗の認証局(CA: Certificate Authority)です。SSL/TLS証明書・コードサイニング証明書・電子メール証明書など、PKI(公開鍵基盤)に関連するさまざまなデジタル証明書を発行・管理しています。現在はGMOインターネットグループの傘下にあり、世界200か国以上でサービスを展開しています。

認証局の役割は「デジタルの公証役場」に例えられます。ウェブサイト運営者が「私たちは本物の会社です」と申請し、GlobalSignが審査・確認した上で証明書を発行します。ブラウザやOSはGlobalSignのような信頼された認証局が発行した証明書を自動的に信頼するため、ユーザーは安全な通信を意識せず利用できます。

ルート証明書がOS・ブラウザにあらかじめ組み込まれているかどうかが認証局の信頼性の根拠であり、GlobalSignはMicrosoft・Apple・Mozilla・Googleなど主要プラットフォームすべてにルート証明書が組み込まれている数少ない認証局のひとつです。

GlobalSignが提供する証明書の種類

証明書の種類用途検証レベル
SSL/TLS証明書(DV)ウェブサイトの暗号化通信ドメイン所有確認のみ
SSL/TLS証明書(OV)企業サイトの暗号化+組織確認組織実在確認あり
SSL/TLS証明書(EV)高信頼サイト(金融・EC等)厳格な組織審査
コードサイニング証明書ソフトウェア・スクリプトへの署名開発者・組織確認
S/MIME証明書電子メールの署名・暗号化個人・組織確認
タイムスタンプ証明書電子文書の存在時刻証明
クライアント証明書デバイス・ユーザー認証組織確認

DV・OV・EVの違いを覚えるコツ

Domain(ドメイン)→ Organization(組織)→ Extended(拡張審査)」と段階が上がるほど審査が厳しくなり、信頼度が高まると覚えましょう。発注・選定時のポイントは「何を証明したいか」。社内向けシステムならDVで十分、お客様向けの決済ページならOV以上が推奨されます。

ワイルドカード・マルチドメイン対応

  • ワイルドカード証明書*.example.com のように、サブドメインをまとめてカバー
  • SAN(マルチドメイン)証明書:複数の異なるドメインを1枚の証明書でカバー
  • 単一ドメイン証明書:1ドメインのみ対応、最もシンプル

歴史と背景

  • 1996年:ベルギーのブリュッセルにてGlobalSignを設立。欧州初期のインターネット商用化を支えるCAとして創業
  • 2000年代前半:欧州・アジア太平洋地域へ拡大。WebTrustおよびETSI認定を取得し国際的な信頼基盤を確立
  • 2007年:GMOインターネット(現GMOインターネットグループ)が買収。日本企業による世界規模のCA運営という異例の体制に
  • 2012年:SHA-1からSHA-256への移行を先導。業界全体のアルゴリズム更新をリード
  • 2015年:クラウドベースのPKIサービス「Atlas」を発表。大規模IoTデバイス向け証明書自動発行基盤を提供開始
  • 2017年:Googleが特定のSymantec系CAへの信頼を撤廃する騒動が発生。GlobalSignは独立した信頼チェーンを維持しており影響なし
  • 2020年代:自動化API(ACME対応)・短期証明書・IoT/デバイス認証など、ゼロトラスト時代のPKIサービスを強化

認証局(CA)の信頼チェーン構造

GlobalSignの証明書がどのように信頼されるかを図解します。

GlobalSign Root CA ルート証明書(OS・ブラウザに組込済) 中間CA(R3等) Intermediate Certificate 中間CA(E1等) ECC対応中間CA サーバー証明書 example.com(DV/OV) サーバー証明書 shop.example.com(EV) コードサイニング ソフトウェア署名証明書 ブラウザ・OS・デバイスが検証 証明書チェーンをルートCAまで辿り、信頼を確認する

信頼チェーンの仕組み:

  1. ルートCA → GlobalSignの最上位証明書。OS・ブラウザに組み込み済みで絶対的な信頼の起点
  2. 中間CA → ルートCAが署名した中間証明書。実際の発行はここから行われる(ルートCAをオフラインに保つセキュリティ設計)
  3. エンドエンティティ証明書 → Webサイト・ソフトウェア・メールなどに使う実際の証明書
  4. ブラウザ検証 → 証明書チェーンを辿り、信頼できるルートCAに行き着けばOKと判断

主要認証局との比較

認証局本拠地特徴
GlobalSignベルギー(GMOグループ)老舗・多品種・API自動化に強い
DigiCert米国EV証明書市場のシェア最大
Sectigo(旧Comodo)米国低コスト・ワイルドカードに強い
Let’s Encrypt米国(ISRG)無料・自動更新・DV専門
SECOM Trust日本国内企業向け・日本語サポート充実

関連する規格・RFC

規格・RFC番号内容
RFC 5280X.509証明書とCRL(失効リスト)のプロファイル定義
RFC 6960OCSP(Online Certificate Status Protocol):証明書の有効性をリアルタイム確認
RFC 8555ACME(自動証明書管理環境):Let’s Encrypt等が使う自動発行プロトコル
CA/Browser Forum BRsSSL/TLS証明書発行の業界基準(GlobalSignも準拠)
WebTrust for CA認証局の監査基準。GlobalSignは取得済み
ETSI EN 319 401欧州の電子署名・認証局標準

関連用語

  • SSL/TLS — 通信を暗号化するプロトコル。GlobalSignはその証明書を発行する
  • PKI(公開鍵基盤) — 証明書を活用した信頼の仕組み全体。GlobalSignはその中核を担うCA
  • 認証局(CA) — デジタル証明書を発行・管理する機関の総称
  • ルート証明書 — 信頼チェーンの起点となる最上位の証明書
  • 中間CA — ルートCAとエンドエンティティの間に位置する証明書発行機関
  • OCSP — 証明書の失効状態をリアルタイムで確認するプロトコル
  • コードサイニング — ソフトウェアの正当性を証明する署名技術