SSL証明書を理解する

「SSL証明書」という言葉は、ウェブサイトを閲覧するうえでよく見かける言葉ですが、詳しく知る機会は少ないのではないでしょうか。

SSL証明書はインターネット通信のセキュリティを担保するために欠かせないものです。

本記事では、SSL証明書の概要と基本的な構造を説明します。

SSL（Secure Sockets Layer）は、インターネット通信の内容を暗号化し、ウェブサイトを提供するサーバーと閲覧するクライアントとの間の通信を暗号化する仕組みです。

SSL証明書は、ウェブサイトを提供するサーバーが確かに存在することを証明したうえで、SSLによるセキュアな通信を提供する役割があります。

SSL証明書は、「ルート証明書」「中間CA証明書」「SSLサーバー証明書*1」の3種類から成り立ちます。各証明書は認証局（CA：Certificate Authorityの略）によって発行されます。

下図のように、SSL証明書はルート証明書を起点とした階層構造になっており、上位の証明書が次の階層の証明書に署名することで信頼性が担保されます。

ルート証明書は、SSL証明書の階層構造の起点となります。

ルート証明書を発行するルート認証局は、さまざまなベンダーによる厳しい監査を受けています。

ルート証明書は、ルート認証局自身により自己署名されており、クライアントのOSやブラウザにあらかじめインストールされています。

クライアントのOSやブラウザのアップデートにより、ルート証明書の削除や追加などが実施されます。そのため、古いバージョンのOSやブラウザでは、ルート証明書が更新されないことにより、正常に認証されないことがあります。

中間CA証明書は、SSLサーバー証明書の上位階層にあり、ルート認証局により署名されています。

中間CA証明書は、ルート認証局のビジネスパートナーである中間認証局が発行し、ホームページなどから誰でも入手することが可能です。

中間CA証明書は、ウェブサイトを提供するサーバーにインストールする必要があります。

サーバーに中間CA証明書がインストールされていない場合、クライアントの補完機能*2により、正常に認証されることがあります。SSLサーバー証明書に比べエラーが出にくいため、中間CA証明書のインストール漏れに気が付かない場合があります。

SSLサーバー証明書は、ウェブサイトの実在性を保証するものであり、中間認証局から発行されます。

SSLサーバー証明書には、インターネット通信の内容を暗号化するための鍵情報（公開鍵）が含まれます。SSLサーバー証明書発行時に作成する秘密鍵とペアで使用します。

一般的に「証明書を購入する」という行為は、このSSLサーバー証明書を中間認証局から発行してもらうことを指します。

SSLサーバー証明書は、ウェブサイトを提供するサーバーにインストールする必要があります。

「秘密鍵」はSSLサーバー証明書のセキュリティを保持する重要な要素です。

秘密鍵を紛失するとSSLサーバー証明書を使用できなくなります。また、秘密鍵が流出すると、SSLサーバー証明書に含まれる企業情報が悪用される危険性*3があります。

SSL証明書の構造を、以下の表にまとめます。

	ルート証明書	中間CA証明書	SSLサーバー証明書
階層構造	１（最上位）	２	３（最下位）
署名	ルート認証局（自己署名）	ルート認証局	中間認証局
入手方法	OSやブラウザにインストールされている	中間認証局から入手する（誰でも入手可能）	中間認証局から購入する（審査が必要）
注意点	古いバージョンのOSやブラウザでは、ルート証明書が更新されないことがある	クライアントの補完機能により、インストール漏れに気が付かないことがある	秘密鍵の紛失や流出は、SSLサーバー証明書の使用不可や悪用につながる