情報セキュリティ対策|その電子証明書は本当に信頼できるのか?

その電子証明書は本当に信頼できるのか?

前回、電子署名の仕組みをご紹介しました。

AさんとBさんの受け渡しを例に、
BさんはAさんの公開鍵を用いてハッシュ値を復号しました。

しかし、ここで復号に使う公開鍵は、
基本的に「電子証明書」に含まれています。

ここで懸念が出てきます。

つまり、
本当にその電子証明書は信頼できるのか?
電子証明書に含まれるAの公開鍵は正しいのだろうか?
という疑義です。

今回は、
「本当にその電子証明書は信頼できるのか?」
という疑義について詳しく見ていきます。

自己署名証明書a.k.a.オレオレ証明書

本当にその電子証明書は信頼できるのか?
この疑義が立ち上がるのはなぜでしょうか。

それは、電子証明書そのものを、署名者自身が作成している場合があるということです。

たとえば、HTTPS通信を実現するためのSSLサーバー証明書を発行するにあたり、
基本的には有料サービスであるため逡巡される方はこ多いのではないでしょうか。

そこで、無料で何とかSSLサーバー証明書を発行する例をググるわけですが、
そこでその証明書を自分のPCやサーバーで作成することが多々あります。

これは当然、CA(認証局)による発行ではありません。
これを「自己署名証明書」と呼び、別名「オレオレ証明書」なんて言われたりします。

リアルの世界で考えると、印鑑証明書を第三者の公的機関による認証を経ず、
自分自身で自作自演して認証しているようなものです。

たとえば、HTTPS通信設定の例では、ブラウザによって毎回アラートがでるだけでなく、
場合によっては攻撃を被り、暗号化そのものが全く意味ない状態になることがあります。

「電子証明書」という単語だけで、信頼するのは危ないということを知っておいて下さい。

次回は、
「その電子証明書は本当に信頼できるのか?」
という疑義を解消する方法について詳しく見ていきます。