出典: フリー百科事典『ウィキペディア(Wikipedia)』
公開鍵証明書の発行プロセス
暗号において、公開鍵証明書認証局または認証局 (CA、Certificate Authority、Certification Authority) は、他の当事者にデジタル 公開鍵証明書 を発行する実体である。これは、信頼できる第三者機関(英語版) (trusted third party, TPP) の例である。
サービスに課金する商用CAは多い。政府などではCAを独自に立てていることがあり、またそれ以外に無料のCAもある。
証明書発行[編集]
CAは、公開鍵証明書を発行する。公開鍵証明書には公開鍵と持ち主の記載があり、記載の個人、組織、サーバその他の実体がこの公開鍵に対応した私有鍵(秘密鍵[1])の持ち主だと証言する。このスキームにおけるCAの義務は、CAの発行した証明書にある情報を利用者が信頼できるよう、申請者の身分を確認することである。もし利用者がCAを信じ、かつCAの署名が検証できたならば、利用者はその証明書で特定される者がその証明書の公開鍵を所有していると検証できたことになる。
CAが侵略された場合、システム全体のセキュリティは失われてしまう。
たとえば(『アリスとボブ』の用法でいう)邪悪な攻撃者マロリーが、偽造の証明書を発行する認証局を手に入れ、マロリーの所有している私有鍵に対応する公開鍵をアリスとひもづけたと仮定してみよう。
ボブはこの偽造証明書からアリスの偽造公開鍵を入手することになり、ボブからアリスへの意思疎通の安全性は、マロリーによって侵害されてしまう。すなわち、メッセージの不正な復号や署名者のでっち上げにつながるのである。
データや、データと同様に人・組織・プログラムの身元を (電子ネットワーク越しで) CAに示すとき、データと実体の関係が正しいことを保証するということは困難なため、CAは往々にして複数の認証技術、たとえば、政府官公庁、支払い基盤、第三者データベースやサービス、発見的な方法を組み合わせて使用する。
一部の企業システムでは、外部の当事者にも使うことのできるようなケルベロス認証といった局所的認証形式が、証明書の入手に使われる。ときには、署名が公証された当事者を個人的に知るために、公証の必要なこともある。これは多くのCAが到達しうる範囲よりも高い標準となる。
2007年9月のSecurity Space調べでは、VeriSignとそこが取得したThawteおよびGeotrustらが、CA市場のシェアの57.6%を占め、以下Comodo (8.3%)、GoDaddy (6.4%)と続く。
2010年に大手セキュリティベンダのシマンテックがVeriSignの証明書事業を取得したが、2017年にDigiCertに同事業を譲渡している。
以下の認証局が、一般公開用のデジタル証明書を無料で提供している。(Domain Validation認証のみ)
不正な認証局[編集]
2016年10月、中国WoSignとイスラエルのStartCom(WoSignの子会社)という2つの認証局(CA)が、電子証明書を不正に発行していた事が明るみに出て、両社の経営陣が交代し監査を受けることになった。両社について、Google、Mozilla、Appleの調査で不正な証明書を多数発行していたことが明らかになっていた。Appleは今後両社の証明書を無効化することを発表した[2][3]。
|
|---|
| プロトコル | |
|---|
| 技術 | |
|---|
| 歴史 | |
|---|
| 実装 | |
|---|
| 公証 | |
|---|
| 脆弱性 |
|
|---|
![[icon]](https://trans.hiragana.jp/ruby/https://ja.wikipedia.org/wiki/%E3%83%95%E3%82%A1%E3%82%A4%E3%83%AB:Wiki_letter_w_cropped.svg){kind=small}
