その電子証明書は誰が発行している?
電子証明書は、第三者のCA(認証局)ではなく、自分自身でも発行できること、
または悪意ある第三者・攻撃者でも容易く発行できてしまうという事実は、
前回お分かりになったことと思います。
今回は、その発行した主体が、きちんとした機関なのかどうかを検証する仕組みについて、
ご紹介します。
証明書チェーン
電子証明書が信頼できるCAによって発行されたものであるかどうか検証するための仕組みとして、
「証明書チェーン」があります。
これは、別名「認証パス」とも呼ばれ、
電子証明書を発行したCAを順々に辿っていき、信頼のおけるCAまで探索する仕組みです。
電子証明書には、必ずCAの電子署名が含まれています。
いわば、「ハンコ」が押されているわけです。
このCAの電子署名(ハンコ)を基に発行元のCAを辿っていきます。
最上位の証明書は、発行元がありませんので、それは自己署名証明書となります。
たとえば、日本國は日本國自身で証明するしかないということです。
最上位の証明書を「ルート証明書」と呼びます。
ルート証明書は、Webブラウザをインストールした際に自動的に導入されています。
各ブラウザの設定で、「信頼されたルート証明書機関」の情報を見てみて下さい。
そこには、ルート証明書の一覧がリストアップされているはずです。
すくなくとも、そこに書かれたルート証明書までの「認証パス」が存在していれば、
その電子証明書は信頼してもよいということです。
