Certificados digitales - Probando identidad en línea
Lectura de 2 min aprox.
デジタル証明書とは、公開鍵の所有者が本人であることを第三者機関 (認証局) が証明する電子的な身分証です。Web ブラウザが HTTPS 接続時にサーバーの 身元を確認する仕組みの根幹であり、SSL/TLS 通信、 電子メールの署名、コード署名など、インターネット上の信頼基盤を支えています。PKI (公開鍵基盤) の 中核要素として、現代のセキュリティインフラに不可欠な存在です。
X.509 規格の構造
デジタル証明書の事実上の標準は ITU-T が策定した X.509 規格です。 現在広く使われているのはバージョン 3 で、以下のフィールドで構成されます。
拡張領域の SAN (Subject Alternative Name) は特に重要で、1 枚の証明書で 複数のドメイン名や IP アドレスをカバーできます。ワイルドカード証明書 (*.example.com) もこの仕組みを利用しています。
DV、OV、EV 証明書の違い
| 種類 | 検証内容 | 発行時間 | 費用 | 用途 |
|---|---|---|---|---|
| DV (Domain Validation) | ドメインの所有権のみ | 数分 | 無料 - 数千円 | 個人サイト、ブログ |
| OV (Organization Validation) | ドメイン + 組織の実在性 | 数日 | 数万円 / 年 | 企業サイト、API |
| EV (Extended Validation) | ドメイン + 組織 + 法的実在性 | 1 - 2 週間 | 10 万円以上 / 年 | 金融機関、EC サイト |
かつて EV 証明書はブラウザのアドレスバーに組織名が緑色で表示されていましたが、 2019 年以降、Chrome や Firefox はこの表示を廃止しました。フィッシングサイトが EV 証明書を取得した事例もあり、「EV = 安全」という単純な図式は成り立たなく なっています。現在の実務では、DV 証明書で十分なケースが大半です。
Let's Encrypt による無料 SSL の普及
2015 年に ISRG (Internet Security Research Group) が立ち上げた Let's Encrypt は、 DV 証明書を無料かつ自動で発行する認証局です。ACME プロトコルによる 自動更新の仕組みにより、証明書の有効期限切れによるサイトダウンという 運用上の課題を大幅に軽減しました。2024 年時点で全 HTTPS サイトの約 30% が Let's Encrypt の証明書を使用しており、Web 全体の暗号化率向上に 決定的な貢献を果たしています。
証明書の失効 - CRL と OCSP
秘密鍵の漏洩や組織の変更により、有効期限前に証明書を無効化する必要が 生じることがあります。失効の確認には 2 つの方式があります。
- 認証局が失効証明書の一覧を定期公開
- クライアントがリスト全体をダウンロード
- リストが肥大化すると通信コスト増大
- 更新間隔に遅延がある
- 個別の証明書の状態をリアルタイム照会
- 通信量が少なく効率的
- OCSP サーバーの可用性に依存
- OCSP Stapling で性能問題を緩和
証明書透明性 (Certificate Transparency)
Certificate Transparency (CT) は、Google が 2013 年に提唱した仕組みで、 発行されたすべての証明書を公開ログに記録し、不正な証明書の発行を 検知可能にします。認証局が誤って (または悪意を持って) 不正な証明書を 発行した場合、CT ログを監視することで早期に発見できます。 2018 年以降、Chrome は CT ログに登録されていない証明書を信頼しない ポリシーを適用しており、事実上の必須要件となっています。公開鍵暗号の 仕組みを理解することで、証明書の検証プロセスがより明確になります。
よくある誤解として「HTTPS = 安全なサイト」という認識がありますが、 DV 証明書はドメインの所有権しか証明しません。フィッシングサイトも 正規の DV 証明書を取得できるため、HTTPS であることとサイトの信頼性は 別の問題です。
暗号化の基礎は暗号化の基本の記事で、 ブラウザのセキュリティはブラウザパスワード安全性の記事で 詳しく解説しています。フィッシング対策も あわせて参照してください。SSL/TLS と証明書の技術書は Amazonでも探せます。
¿Te resultó útil este artículo?