KEYWORD ENCYCLOPEDIA

キーワード事典 | セキュリティに関するキーワードを解説

デジタル証明書
英語表記:digital certificate

この記事をシェア

インターネット上での信頼性を確保するために用いられる、第三者(認証局)が発行する電子的な証明書


現実社会で契約をする際には、多くの場合、契約書と実印、印鑑証明(印鑑登録証明書)が用いられる。この場合、印鑑証明がインターネット上におけるデジタル証明書に該当する。印鑑証明は、登録された印鑑を登録先の自治体が証明することで信頼性を担保するが、デジタル証明書も発行する機関が信頼のおけるものであることが求められる。

多くの場合、デジタルデータの複製は容易に行える。そのため、機密性の高い文書などではデータの正当性を確保するためにデジタル署名が用いられることがある。デジタル署名は原則として、秘密鍵で作成して公開鍵で検証を行う。この場合、暗号化のために秘密鍵が利用されることになるが、その正当性を証明するために採用されているのがデジタル証明書だ。

この仕組みが応用されているのがWebサイトだ。暗号化通信に対応している場合、URLは「https://」の文字列からなる。その暗号化通信で利用する鍵の正当性を証明するのがデジタル証明書であり、デジタル証明書を使用しているWebサイトの場合はブラウザーのアドレスバーに鍵マークが表示される。この鍵マークは、デジタル証明書を使用していること以外に、信頼できる認証局から発行された証明書を利用していることも示している。

デジタル証明書の種類

以下のとおり、デジタル証明書には大きく3つの種類がある。

サーバー証明書

サーバー証明書はクライアント(ユーザー側の端末)がリクエストした、正しいサーバーに接続できているかを確認するために使用される証明書のこと。通信の最初の段階で、クライアントにはルート証明書(認証局の自己署名証明書)が格納される。暗号化通信を確立する際に、サーバーからクライアントへサーバー証明書を送付。クライアントはルート証明書と照らし合わせてサーバー証明書の正当性をチェックする。サーバー証明書の正当性が確保できると、サーバーとの通信が開始される。

クライアント証明書

クライアント証明書はサーバー証明書とは逆に、サーバーが正しいクライアントから接続されているかを確認する際に用いられ、こうした証明書を用いた通信における認証は相互認証とも呼ばれる。通信が確立した際、サーバーにはルート証明書が格納される。クライアントからサーバーへクライアント証明書を送付し、サーバーはルート証明書と照らし合わせてクライアント証明書の正当性をチェックする。クライアント証明書の正当性が確認されたら、サーバーとクライアントの通信が開始される。

コードサイニング証明書

コードサイニング証明書は、ソフトウェアの配布元の認証と改ざん防止のために使用される。様式や形式は定まっておらず、ベンダーによって異なる。ベンダーの自己署名証明書や独自様式の場合などがある。

デジタル証明書を使った認証の仕組み

ECサイトなどで暗号通信を行う場合、公開鍵暗号方式を用いることが多い。この場合、公開鍵と秘密鍵の双方を用いて、暗号化と復号が行われる。ここで、公開鍵の正当性を証明するのがデジタル証明書だ。

パスワードなどを公開鍵暗号方式でやりとりする場合、データは公開鍵で暗号化され送信されることになる。その後、受信側が秘密鍵で復号することで機密性が保たれる。なお、まれにこの暗号化を秘密鍵で行い、復号を公開鍵で行う場合もあるが、一般的ではない。

デジタル証明書を使えば安全といえるか

デジタル証明書を用いることで、公開鍵の正当性を担保できることから、送受信されるデータの信頼性が確保される。しかし、確実に安全と言い切れるかといえばそうではない。デジタル証明書は信頼性の高い認証局から発行されることで、証明書の正当性が保証される。しかし、証明される人や組織が自ら認証局を立てて発行したデジタル証明書が存在する。こうした自己署名証明書は、一般的に「オレオレ証明書」と呼ばれる。

オレオレ証明書には信頼性のある第三者のチェックが入っていないため、認証局が発行した証明書に比べると信頼性は劣ると言わざるを得ない。オレオレ証明書を使っているWebサイトを開く際には、ブラウザーが警告画面を表示して接続先の安全性を担保できない旨の案内がなされる。また、アドレスバーにも赤字で「保護されていない通信」などの表記がされるため、信頼できないWebサイトであることはこうした通知によって判断できる場合が多い。

昨今のフィッシングサイトでも暗号化通信を用いられることが一般化しているが、このようなWebサイトではオレオレ証明書が使われていることも少なくないため、注意が必要だ。

近年のデジタル証明書の傾向

サイバー攻撃が高度化・複雑化してきているため、デジタル証明書の扱いが変化してきている。運転免許証などと同じようにデジタル証明書にも有効期限がある。有効期限が長ければ利便性が高い一方で、鍵の流出や危険に晒される機会が増えることにもつながる。無料の証明書を発行するLet’s Encryptなどの登場により、自動更新がしやすくなったこともこうした状況に影響を与えている。

初期のデジタル証明書の場合は2~3年の有効期限が一般的であったものの、2020年には主要のブラウザーで、399日以上の証明書は信頼されないように決定が下されている。証明書の有効期限を議論するCABF(Certification Authority Browser Forum)では、これらの有効期限を6ヶ月や3ヶ月に短縮することが検討されており、今後はさらに短期間での更新が必要になる可能性も想定される。

この記事をシェア

Webサイトのセキュリティ対策に

サイバーセキュリティ
情報局の最新情報を
チェック!