認証局

公開鍵証明書認証局（CA）とは

暗号技術において、公開鍵証明書認証局（CA：Certificate Authority）は、デジタル公開鍵証明書を発行する組織です。CAは、信頼できる第三者機関（TPP：Trusted Third Party）として機能し、証明書の信頼性を保証する役割を担います。

CAの役割と機能

CAの主な役割は、公開鍵証明書の発行です。この証明書には、公開鍵と、その鍵の所有者である個人、組織、サーバーなどの情報が記載されています。CAは、証明書に記載された情報が信頼できるものであることを保証するために、申請者の身元を慎重に確認します。ユーザーがCAを信頼し、CAの署名が検証できれば、証明書で特定される者が、その証明書に記載された公開鍵に対応する秘密鍵を所有していることを確認できます。

CAの重要性

CAは、公開鍵基盤（PKI）において不可欠な要素です。CAが侵害されると、システム全体のセキュリティが損なわれる可能性があります。例えば、攻撃者がCAを乗っ取り、偽の証明書を発行した場合、その証明書を利用した通信は中間者攻撃の脅威にさらされます。これにより、メッセージの不正な復号や署名の偽造が発生する可能性があります。

CAにおける認証技術

CAは、データ、個人、組織、プログラムの身元を検証するために、複数の認証技術を組み合わせて使用します。これには、政府機関、決済基盤、第三者データベース、およびその他のヒューリスティックな方法が含まれます。一部の企業システムでは、ケルベロス認証などのローカル認証形式が証明書の取得に使用される場合があります。また、CAは、公証された当事者を個人的に知る必要がある場合があります。これは、多くのCAが到達できる範囲よりも高い標準となることがあります。

CAプロバイダ

CAは、商用と無料のものがあります。商用CAは、サービスに対して料金を請求しますが、政府機関や企業は、独自のCAを運営することがあります。

大手CAプロバイダ

2007年9月の調査によると、VeriSignとその傘下のThawteとGeotrustが、CA市場の57.6％を占めていました。Comodo（8.3％）、GoDaddy（6.4％）がそれに続きました。2010年、シマンテックがVeriSignの証明書事業を買収しましたが、2017年にDigiCertに譲渡しました。

無料CAプロバイダ

一般公開用のデジタル証明書を無料で提供しているCAには、以下のようなものがあります。

CAcert.org
Let's Encrypt
AWS Certificate Manager

これらの無料CAは、ドメイン検証（DV）のみを提供していることが一般的です。

不正なCA

2016年10月、中国のWoSignとイスラエルのStartCom（WoSignの子会社）という2つの認証局が、電子証明書を不正に発行していたことが判明しました。この問題を受けて、両社の経営陣が交代し、監査を受けることになりました。Google、Mozilla、Appleの調査により、両社が多数の不正な証明書を発行していたことが明らかになり、Appleは両社の証明書を無効化することを発表しました。

まとめ

CAは、インターネット上のセキュリティを維持する上で非常に重要な役割を果たしています。CAを選択する際には、その信頼性とセキュリティ対策を慎重に評価する必要があります。また、不正な証明書の発行を監視し、セキュリティ侵害に対処するための適切な措置を講じる必要があります。

関連事項

CRL（証明書失効リスト）
ロボットCA
Web of Trust
X.509

外部リンク

証明機関の国別一覧
* Open Directory Project のCertificate authorities

もう一度検索