その電子証明書は本当に信頼できるのか?
前回、電子署名の仕組みをご紹介しました。
AさんとBさんの受け渡しを例に、
BさんはAさんの公開鍵を用いてハッシュ値を復号しました。
しかし、ここで復号に使う公開鍵は、
基本的に「電子証明書」に含まれています。
ここで懸念が出てきます。
つまり、
本当にその電子証明書は信頼できるのか?
電子証明書に含まれるAの公開鍵は正しいのだろうか?
という疑義です。
今回は、
「本当にその電子証明書は信頼できるのか?」
という疑義について詳しく見ていきます。
自己署名証明書a.k.a.オレオレ証明書
本当にその電子証明書は信頼できるのか?
この疑義が立ち上がるのはなぜでしょうか。
それは、電子証明書そのものを、署名者自身が作成している場合があるということです。
たとえば、HTTPS通信を実現するためのSSLサーバー証明書を発行するにあたり、
基本的には有料サービスであるため逡巡される方はこ多いのではないでしょうか。
そこで、無料で何とかSSLサーバー証明書を発行する例をググるわけですが、
そこでその証明書を自分のPCやサーバーで作成することが多々あります。
これは当然、CA(認証局)による発行ではありません。
これを「自己署名証明書」と呼び、別名「オレオレ証明書」なんて言われたりします。
リアルの世界で考えると、印鑑証明書を第三者の公的機関による認証を経ず、
自分自身で自作自演して認証しているようなものです。
たとえば、HTTPS通信設定の例では、ブラウザによって毎回アラートがでるだけでなく、
場合によっては攻撃を被り、暗号化そのものが全く意味ない状態になることがあります。
「電子証明書」という単語だけで、信頼するのは危ないということを知っておいて下さい。
次回は、
「その電子証明書は本当に信頼できるのか?」
という疑義を解消する方法について詳しく見ていきます。