支援対象地域:札幌、仙台、関東、愛知、関西、広島、福岡

  • TOP
  •   
  • コラム
  •   
  • ルート証明書とはどういうもの?

ルート証明書とはどういうもの?


最初に

インターネットが発展し、スマホやパソコンからネットショッピングや多様なネットコンテンツが増えてきました。そうして便利に発展していく反面、セキリティ面でのリスクも増大していきます。そんなリスクを軽減し安全な通信を行うために実装されている「ルート証明書」について説明していきます。

ルート証明書とは

用語としての説明は「デジタル証明書を発行している認証局が使用されている証明書の正当性を証明するために自ら署名した自己署名証明書のうち、オープンソースを利用しているソフトウェアに直接組み込んだもの。それらソフトウェアの開発者や利用者が信用する証明書であり、デジタル署名を検証する際の基準として用いられる。」となります。
例えば店舗で直接お買い物をする場合、現物のクレジットカードと利用者自身のみ知る暗証番号を用いることで不正利用を防いでいます。それがネットショッピングだとどうでしょうか。クレジットカード番号と暗証番号を入力するだけでお買い物が出来てしまいます。この入力画面がもし悪意のある第三者に見られていた場合、簡単にそのクレジットカードを勝手に使われてしまいます。こういった不正利用も含めてセキリティを高めるためにもこの接続は安全だという証明のためにデジタル証明書は存在しています。ただしサーバー証明書は誰でも作れてしまうため、証明書が信頼できるものとして確認を取る必要があります。この確認を行うために使用されるものが今回の「ルート証明書」になります。

予備知識として

今回の「ルート証明書」を理解するために理解しておくべき単語をいくつか挙げましたので、まだご存知ない場合は確認してくだされば理解の手助けになると思います。

[電子証明書](digital certificate):パソコン上での身元証明書になります。これがないと不特定多数へ接続できるインターネット上で特定の個人へ接続したい場合に、その途中で第三者がその個人を騙って通信を促してきた場合に本人であるという保証が出来でいないため、意図しない情報漏洩や不正利用が生じてしまいます。そこで一対の暗号鍵の組を使用し、片方を自分しか知らない暗号鍵、もう一方を目的の通信相手方に公開鍵として用います。結果、通信途上で悪意のある第三者による改ざんやすり替えの被害に遭うことがなく、送信者や受信者がたしかに本人からのものであると確認することが出来ます。

[認証局](certificate authority):上記の電子証明書を発行する機関のことを指します。さらに認証局には「ルート認証局」「中間認証局」があります。また関係する機関として「デジタル証明書」の発行申請に対して本人確認を行い認証局に発行を申請する「登録局」もあります。

[ルート認証局](root certificate authority):デジタル証明書の認証局の一つで上位の認証局による認証を受けずに自分の正当性を自ら証明する認証局です。ルート認証局が自ら署名して作成する自らの証明書を「ルート証明書」と言います。証明書を自身で署名して作成しているため、ルート証明書の信頼性は外部機関の厳しい審査に合格することや運用実績、知名度などデジタル証明書以外の方法で示す必要があります。

[中間認証局](intermediate certificate authority):先述したルート認証局以外のデジタル証明書を発行する認証局です。こちらは先程と異なり上位の認証局が発行した証明書によって正当性を認証する機関になります。また発行された証明書を受け取った人からの問い合わせに対して証明書の真正性を保証します。その際、発行した証明書に中間認証局のデジタル署名を施しますが、この署名自身の真正性をまた証明する手段として別の(上位局)が発行したデジタル証明書を用いて数段階による証明がなされています。そのため中間認証局の正当性は上位局が担保しますが、その上局の正当性をさらに上位局が~と無限に検証する必要が生じて検証が終わりません。そこでWebサービスなどのデジタル証明書を利用するソフトウェアは世界の認証局の中でも信用性に足る機関を選択し、その機関が署名した証明書(自己署名証明書)をあらかじめ内蔵して信頼性の起点としています。このような信頼の起点となる頂点の認証局を「ルート認証局」、そこが発行する自身の証明書を「ルート証明書」と言います。

ルート証明書はどのように使用されているか

ではそのタイミングで使用されているのか。https通信でのやりとりを例に説明いたします。

https通信ではWebブラウザが通信先のサーバーと通信を行うことでインターネットが利用できます。そこでWebブラウザがサーバーにある「暗号化通信」を行いたいと伝えます。それに対してサーバーは了解し応答する旨を返信します。それに対してWebブラウザは暗号化した大切な情報を本当に本当に渡して良いのか、信頼できるサーバーであるのかを証明するためにサーバーから証明書を受け取り検証します。そして検証が無事終わり信頼できるサーバーであると確認が出来たら暗号化通信に切り替えます。

ルート証明書は上記の場合どのタイミングで使用されているのかというと上記太字記載の「検証」するための照会先としてルート証明書を使用しています。

まとめ

したがってルート証明書はクライアント側、ようするに通信を行いたいと注文を行った方に搭載されている必要があります。そしてhttpsでの暗号化通信では通信先であるサーバーから送付されたサーバー証明書を自身が搭載しているルート証明書を使用して正当性を検証し、安全な通信を確立しているということになります。






Copyright © IT求人ナビ
30秒で
無料会員登録