- デジタル証明書の仕組みが変わる
- 公開鍵暗号方式やデジタル署名と絡めた理解ができる
デジタル証明書とは
デジタル証明書は、個々のウェブサイトやオンラインサービスの身元情報を確認するために使用するものです。
ショッピングサイトで商品を買い、クレジットカード情報を入力し決済した場合を考えてみましょう。
決済したサイトは本物のショッピングサイトを真似て作られた偽物だった場合、個人情報が流出することになります。
このような身分を偽った不正が行われないように、本物のショッピングサイトはデジタル証明書が発行し、正しいサイトだと証明することができます。
もう少し詳しく説明すると、デジタル証明書は暗号化やデジタル署名に使用される公開鍵が正しいことを証明するものです。
公開鍵やデジタル署名については以下の記事をご覧ください。
デジタル証明書をデジタル署名と一緒に相手に送り、受け取り側は認証局(CA)を通じて証明書が正しいことを確認します。
詳しいポイントを見ていきましょう。
デジタル証明書の仕組み
認証局(CA)とは
デジタル証明書を発行する機関のことです。
ショッピングサイトを例に考えていきましょう。
ショッピングサイトは自分が正しいサイトだと証明するするために、認証局に申請を行います。(お金と手間がかかります)
認証局は申請元の本人確認を行い、問題がなければデジタル証明書を発行します。
(本当はもう少し複雑なプロセスを踏みますが省略します)
このように独立した認証局があるために、本物と偽物を見分けることができます。
認証局にはルート認証局(最上位)と中間認証局が存在します。
もし世界中の申請者がルート認証局に申請を行うとパンクしてしまうため、デジタル署名の発行は中間認証局が行います。
中間認証局はルート認証局が発行した証明書により、自分は正しい認証局だと証明することができます。
ルート認証局の正当性は、厳しい監査を受けていること等いくつかの実績により信頼されています。
デジタル証明書の仕組み
デジタル証明書の仕組みや利用方法を以下の図にまとめました。
- 申請者は秘密鍵と公開鍵を作成
- 認証局に公開鍵と自分自身の証明書を送付し、デジタル証明書の発行を申請する
- 認証局は審査を行い、通過した場合、申請者にデジタル証明書を送付(送付するデジタル証明書はデジタル署名付き)
- 申請者はデジタル証明書を受け取り、サーバにインストールする
- クライアントから接続要求を行う
- サーバは自分自身のデジタル証明書と公開鍵をクライアントに送付する
- クライアントは送付されてきたデジタル証明書を発行した認証局の公開鍵を入手する
- 受け取った証明書が正しいかどうか、認証局の公開鍵を使用して復号する。デジタル署名の仕組みを使い、改ざんされていないことが判別できたら正当な公開鍵だと判断できる。
※Web閲覧の場合、代表的なデジタル証明書はブラウザにインストールされている。
まとめ
今回はデジタル証明書について解説しました。
デジタル証明書は公開鍵が正しいことを証明する技術で、認証局(CA)が審査、発行することにより信頼性が確保されています。
認証局はルート認証局と中間認証局があり、中間認証局はルート認証局に証明書を発行してもらうことにより正当性を証明します。
