証明書管理 05-26-2021

CAとは?認証局 (Certificate Authorities) について説明します

Dean Coclin
Control Room Image

認証局(CA)とは、ウェブサイトやその他の独立した存在などに、デジタル証明書を発行する信頼できる組織のことです。CAは、ウェブサイトのドメインや、証明書の種類によってはウェブサイトの所有権を認証し、Chrome、Safari、Firefoxなどのウェブブラウザが信頼するTLS/SSLサーバ証明書を発行します。このようにCAは、ウェブサイトやその他の独立した存在を認証することで、オンラインでのコミュニケーションや取引の信頼性を高め、インターネットをより安全な場所に保つことができます。

CAの役割は何ですか?

HTTPSのウェブサイトにアクセスしている時、ブラウザのURLバーに小さな南京錠が表示されている時は、CAによって認証されたサイトを利用しています。また「保護されていない通信」や「安全ではありません」と表示されているサイトは、CAによる認証が行われていないか、その認証の有効期限が切れていることを意味します。

安全な南京錠を表示し、HTTPS を有効にしたいウェブサイトは、CAから TLS/SSL証明書を取得する必要があります。CAは、証明書を発行する前に、サイトの所有権、名前、所在地など、証明書要求者の情報を確認します。CAは、すべてのCAが同様の要件に従って認証を行うことを保証するために、厳しい業界基準に準拠しなければなりません。CA/B フォーラムは、主要なブラウザベンダーとCAで構成され、TLS暗号化とデジタル証明書の標準を設定している業界団体となります。

なぜCAが必要なのか?

CAがなければ、オンラインでのショッピング、バンキング、ブラウジングの安全性が損なわれます。ウェブフォームに入力されたデータは正しいウェブサイト運営者に送信されず、ブラウザとサーバ間のデータを「スニッフィング(盗聴)」しているハッカーに盗まれてしまう可能性があります。CAは組織や個人の認証を行い、正当なウェブサイトだけがTLS/SSL証明書を取得できるようにしています。世界には100以上のCAがあり、世界中の企業やサイトを認証しています。

また、詐欺師が証明書を利用しようとする可能性もあるため、ウェブユーザーは、ウェブサイトが安全であるかどうかを知るために、サイトシールを含むサイトの信頼性を示す指標などを確認する必要があります。TLS/SSL証明書には組織名や所在地など、証明書の所有者を特定する情報を確認することができる、認証水準がより高いタイプのものがあります。

TLS/SSL証明書の主な3種類

CAが発行するTLS/SSL証明書には、ドメイン認証(DV)、組織認証(OV)、拡張認証(EV)の3種類があります。CAは、それぞれのタイプの証明書を、ユーザーの信頼度に応じて認証し、EVは最高レベルの保証が提供できるものとなります。OVとEVの違いは、CAが証明書の要求者を認証するために追加の手順を踏むことで、エンドユーザーにウェブサイトが正当なものであることをより確信させることです。

  • DV (Domain Validation) - ドメイン所有権の認証済み証明書は、申請者がドメインを管理していることを証明することで、CAが認証します。ただしDV証明書は組織を特定する情報を提供していないため、商用目的には推奨できません。
  • OV (Organization Validation) 組織認証済み証明書は、政府が運営するビジネス・レジストリ・データベースと照合して、CAが認証します。CAは、OV証明書に正当なビジネス情報が含まれていることを確認するために、特定の文書を要求し、担当者に連絡を取る場合があります。これは、商業用または公共用のウェブサイトで必要とされる標準的なタイプの証明書です。
  • EV (Extended Validation) EV認証証明書は、ブランドを保護し、ユーザーを守るための最高レベルの認証を提供します。Comscore社とNetcraft社の2019年のデータによると、上位400のeコマースサイトの半数以上を含む、世界の主要な組織で使用されています。

サイトに適したタイプの証明書を選択する方法については、別のブログ記事でご紹介しています。

CAが発行する証明書の種類

CAは主にTLS/SSL証明書を中心に扱っていますが、以下のような様々な電子証明書を発行しています。

  • コードサイニング証明書 – ソフトウェアのリリースへの署名や、ベンダーや開発者のソフトウェアを検証するために使用される。
  • Eメール 証明書 - S/MIMEプロトコルを使用して、電子メールを保護・検証し、作成者を証明し、改ざんを防ぐことができます。
  • 文書署名証明書 - Adobe、Microsoft、その他のプログラムで法的拘束力のある文書に署名し、改ざんされていないことを保証し、信頼性を高めます。
  • デバイス証明書 - モノのインターネット(IoT)デバイスを保護することができます。
  • ユーザー証明書またはクライアント証明書 - 個人を認証するために使用されます。

CAの証明書を取得するにはどうすればいいですか?

デジサートのようなCAから証明書を取得するには、証明書署名要求 (CSR)を記入し、申請をする必要があります。プロセスは、注文するTLS/SSL証明書の種類にかかわらず同じですが、OVおよびEV証明書の場合は、追加のフィールド情報を入力する必要があります。デジサートは、最短1日以内に認証を完了し、数日ではなく数時間でTLS/SSL証明書を取得することができます。

なお、一般に公開されているTLS/SSL証明書の有効期限は最大で1年(397日)であり、1年ごとに再認証を行う必要がありますのでご注意ください。

CAの選び方

CAを選択する際には、信頼性、顧客サービス、ブランド認知度、コスト、利用可能なツールなど、いくつかの考慮事項を理解しておく必要があります。デジタル製品やサービス、エンドユーザーのセキュリティは、CAが提供する技術に依存しているため、信頼できるCAを選ぶことが重要です。信頼できるCAは、独立した機関による定期的な監査を受け、業界のガイドラインに従い、インフラを保護するためのベスト・プラクティスを維持しています。さらに多くのCAは、業界団体や業界標準の策定に深く関与しており、その分野におけるリーダーとして、お客様に必要なリソースを提供しています。またCAによってカスタマーサポート体制が異なります。最後に、特定のプラットフォームでは、あらかじめ定められた信頼できるCAのリストが用意されていて、利用することができます。

正しいCAの選び方については、別のブログ記事をご覧ください。

TLS/SSL証明書の取得

TLS/SSL証明書は、信頼できるCAから購入することができます。よろしければデジサートがTLS/SSL証明書を購入するための最良の選択肢の一つであることを知っておいてください。

デジサートは、世界最大級のCAとして、約20年にわたり、世界中の何百万人ものユーザーやデバイスに信頼性の高いソリューションを提供してきた実績があり、現在、2,200万枚以上のアクティブなTLS/SSL証明書を保有しています。フォーチュン500社の大半とグローバル2000社の多くがデジサートを利用しています。デジサートは、この責任を真剣に受け止め、証明書の完全性を確保するために、毎年20数回の監査を行うなど、さまざまな対策を講じています。また、豊富な経験をもつチームによるカスタマーサポートを提供し、証明書の管理を容易にするためのソリューションを革新しています。デジサートは、CA/Bフォーラムに積極的かつ主導的に参加しており、最も厳しいグローバルスタンダードにも準拠できるようなツールを開発しています。さらに、デジサートでは、あらゆるセキュリティニーズに対応した電子証明書を提供しています。

最大級のCAについては、www.digicert.com/jpで詳細をご覧ください。

UP NEXT
自動化

人のための自動化 (Automatic for the People)

5 Min

特集記事

クラウド上で量子コンピュータをいかに保護するか

NIST PQC アルゴリズムに関する詳細な説明

従来の PKI がもたらす割高な機会損失