証明書管理 02-06-2025

認証局(CA)とは何か: 認証局の基礎

Dean Coclin
What is a CA Blog Hero

認証局(CA)とは、ウェブサイト、企業、個人に対して電子証明書を発行する、信頼されている組織です。TLS/SSL 証明書を発行するとき、認証局はウェブサイトのドメインを認証し、証明書のタイプによってはその運営元組織も認証します。この認証によって、ユーザーとウェブサイトの間に信頼が確立され、パスワード、クレジットカード情報、個人情報といった機密データの保護が保証されます。

ウェブサイトにアクセスしたとき、アドレスバーに「HTTPS」または南京錠のアイコンが表示されていれば、そのサイトを認証局が認証し、接続を保護する TLS/SSL 証明書を発行したという目印になります。

認証局の機能は、簡単に言うと以上ですが、さらに詳しく知りたい方のために、認証局がデジタル世界の保護という点でなぜ重要な役割を果たすのか、もう少し詳しく説明します。

認証局(CA)が必要な理由

インターネットは、サイバー脅威から機密情報を保護する機能を暗号化に依存しています。ウェブサイトや企業のアイデンティティを検証する手段がなければ、攻撃者はたやすく正規のサイトを偽装し、ユーザーを欺いてクレデンシャルや財務データを引き出すことが可能になります。

そこで登場するのが認証局です。認証局は、ウェブサイトの所有権を認証し、TLS/SSL 証明書を発行することによって、ウェブブラウザとサーバーの間での暗号化を実現します。この暗号化によって、ログインクレデンシャルや支払い情報など、交換されるどんなデータもハッカーによる傍受から保護され、プライバシーとセキュリティが保証されます。

認証局がなかったら、オンラインバンキングやオンラインショッピングは、それどころかただのウェブ閲覧ですら、今よりはるかに危険になります。ウェブサイトが本物なのかフィッシング攻撃のサイトなのかを確認できる確実な手段がなくなるからです。

といっても、サイトに証明書があるからといって、それだけでそのサイトが信頼できるとは限らない点に注意してください。サイトに証明書がある場合でも、サイバー犯罪者は偽のウェブサイト用にドメイン検証(DV)証明書を取得することができます。そのため、機密性の高い取引を扱う企業は組織認証(OV)証明書や 拡張認証(EV)証明書を選択することが多く、それがサイトの正当性に関する追加の認証になります。

認証局がインターネットを保護する仕組み

ブラウザで「安全ではありません」という警告が表示された場合は、そのウェブサイトに有効な TLS/SSL 証明書がない(または証明書の有効期限が切れている)ことを意味します。南京錠のアイコンを表示して HTTPS を有効にしたいサイトは、まずデジサートのような信頼できる認証局から証明書を取得する必要があります。

証明書の発行に先立って、認証局は申請者について次のような重要な詳細情報を検証します。

  • DV 証明書の場合は、申請者がドメインを管理していることを確認します。
  • OV 証明書の場合は、政府の記録を使用して組織のアイデンティティを認証します。
  • EV 証明書の場合は、最も厳格な検証を実施して企業の正当性を確認します。

CA は、CA/B フォーラムが定める厳格な業界標準に従い、証明書が間違いなく正当なエンティティに対してのみ発行され、保護を保てるよう図る必要があります。

TLS 証明書のタイプ

主な TLS 証明書のタイプが、これまでに 3 つすでに登場しています。そこで次に、その 3 タイプの証明書で提供される認証レベルと信頼性について、詳しく説明します。

  • ドメイン認証(DV): サイト所有者のアイデンティティは確認せずに、ウェブサイトのドメインに対する管理権限を確認します。DV 証明書は、内部サイトや個人サイトに適していますが、企業用としては推奨されません。
  • 企業認証(OV): ウェブサイトの運営元である企業のアイデンティティを検証し、ユーザーに高い信頼を提供します。OV 証明書は、商用サイトや公開サイトで使用される標準的な証明書です。
  • Extended Validation (EV): EV 証明書は認証のレベルが最も高く、証明書の詳細には組織の名前が表示されます。金融機関、大手 E コマースブランド、政府機関などが、最大の信頼を確立する目的で使用します。

認証局が発行するその他の電子証明書

認証局が発行する証明書は、TLS/SSL 証明書だけではありません。認証局は、以下のような証明書を通じて、ソフトウェアや E メール、文書、デバイスを電子証明書で保護する役割も担っています。

  • コードサイニング証明書: ソフトウェアの完全性を保証し、開発者のアイデンティティを確認します。
  • ドキュメントサイニング証明書: ユーザーが PDF などのファイルに電子署名して真正性を証明することを可能にします。
  • E メール証明書: S/MIME プロトコルを利用してメールを保護し、認証します。
  • デバイス証明書: IoT(モノのインターネット)の中心になるコネクテッドデバイスを認証し、保護します。
  • マーク証明書: 組織がメールクライアントにロゴを表示できるようにします。送信者が間違いなく本物であると受信者に示すことで、開封率が向上します。

認証局が信頼を失う可能性はあるか?

あります。認証局が業界標準に従わなかった場合や、セキュリティ上の問題が発生した場合、ウェブブラウザやオペレーティングシステムから信頼されなくなり、そこから発行される証明書は有効と認識されなくなります。

たとえば 2024 年には、それまで信頼できる認証局だった Entrust が、セキュリティ上の懸念を理由に Google、Mozilla、Apple からの信頼を失いました。Entrust のルートで発行される証明書を使用していたウェブサイトは、コンプライアンスを維持し、サイトが安全ではないという警告が訪問者に表示されないよう、一定の日付以降は証明書プロバイダーを切り替えなければなりませんでした。

このような場合があるため、信頼できる認証局を選択することが重要なのです。デジサートのような認証局は、厳格な第三者監査を受けており、業界のベストプラクティスにのっとって継続的な信頼性を保証しています。

認証局から証明書を取得するには

TLS/SSL 証明書を取得するために、ウェブサイト所有者は申請書に添えて証明書署名要求(CSR)を提出する必要があります。プロセスは、証明書のタイプに応じて以下のように異なります。

  • DV 証明書で必要なのは、ドメインの所有権の認証のみです。
  • OV 証明書と EV 証明書は、企業による追加の認証が必要になります。

公的に信頼できる証明書は毎年更新する必要があることに注意してください。Google と Apple はともに、証明書ライフサイクルを 90 日以下に短縮することを後押ししています。

適切な認証局を選ぶ方法

認証局を選ぶときは、表示される最初の名前をクリックするだけではだめです。以下の要件を判断材料にしてください。

  • 評判と信頼: 認証局には、信頼できる安全な証明書発行の長い実績がなければなりません。
  • コンプライアンスとセキュリティ: 信頼できる認証局は、厳格な公開鍵基盤(PKI)のガイドラインに従っており、独立した監査を受けています。
  • 顧客サポート: 証明書インストールや更新に関して緊急サポートが必要になったときは、365 日 24 時間の専門家サポートの有無が重要な価値のある基準になります。
  • 追加のツールとサービス: 認証局によっては、大規模な証明書ライフサイクル管理に必要な管理プラットフォームを提供しています。

TLS/SSL 証明書を購入できる場所

TLS/SSL 証明書は、信頼できる認証局から購入できますが、業界最高水準の製品をお探しなら、デジサートがあらゆる要件を満たしています。

20 年近くの経験を持つデジサートは、2,200 万件以上の有効な TLS 証明書を発行しており、Fortune 500 企業の過半数にサービスを提供しています。当社のセキュリティへの取り組みは、以下のような特長を備えています。

TLS/SSL 証明書、コードサイニング証明書、ドキュメントサイニング証明書など、どんな証明書が必要な場合でも、デジサートが対応いたします。

デジタルトラストに関する最新情報

コンプライアンスTLSPKI などのトピックについて詳細をご希望ですか?記事を見逃さないようにデジサートのブログを参照してください。

 

UP NEXT
コンプライアンス

不確実な世界に安定性をもたらす

Entrust の顧客が今こそデジサートに移行すべき理由

5 Min

特集記事