デジタル証明書とは
この記事は約 2 分で読めます
デジタル証明書とは、公開鍵の所有者が本人であることを第三者機関 (認証局) が証明する電子的な身分証です。Web ブラウザが HTTPS 接続時にサーバーの身元を確認する仕組みの根幹であり、SSL/TLS 通信、電子メールの署名、コード署名など、インターネット上の信頼基盤を支えています。PKI (公開鍵基盤) の中核要素として、現代のセキュリティインフラに不可欠な存在です。
X.509 規格の構造
デジタル証明書の事実上の標準は ITU-T が策定した X.509 規格です。現在広く使われているのはバージョン 3 で、以下のフィールドで構成されます。
拡張領域の SAN (Subject Alternative Name) は特に重要で、1 枚の証明書で複数のドメイン名や IP アドレスをカバーできます。ワイルドカード証明書 (*.example.com) もこの仕組みを利用しています。
DV、OV、EV 証明書の違い
| 種類 | 検証内容 | 発行時間 | 費用 | 用途 |
|---|---|---|---|---|
| DV (Domain Validation) | ドメインの所有権のみ | 数分 | 無料 - 数千円 | 個人サイト、ブログ |
| OV (Organization Validation) | ドメイン + 組織の実在性 | 数日 | 数万円 / 年 | 企業サイト、API |
| EV (Extended Validation) | ドメイン + 組織 + 法的実在性 | 1 - 2 週間 | 10 万円以上 / 年 | 金融機関、EC サイト |
かつて EV 証明書はブラウザのアドレスバーに組織名が緑色で表示されていましたが、2019 年以降、Chrome や Firefox はこの表示を廃止しました。フィッシングサイトが EV 証明書を取得した事例もあり、「EV = 安全」という単純な図式は成り立たなくなっています。現在の実務では、DV 証明書で十分なケースが大半です。
Let's Encrypt による無料 SSL の普及
2015 年に ISRG (Internet Security Research Group) が立ち上げた Let's Encrypt は、DV 証明書を無料かつ自動で発行する認証局です。ACME プロトコルによる自動更新の仕組みにより、証明書の有効期限切れによるサイトダウンという運用上の課題を大幅に軽減しました。2024 年時点で全 HTTPS サイトの約 30% が Let's Encrypt の証明書を使用しており、Web 全体の暗号化率向上に決定的な貢献を果たしています。
証明書の失効 - CRL と OCSP
秘密鍵の漏洩や組織の変更により、有効期限前に証明書を無効化する必要が生じることがあります。失効の確認には 2 つの方式があります。
- 認証局が失効証明書の一覧を定期公開
- クライアントがリスト全体をダウンロード
- リストが肥大化すると通信コスト増大
- 更新間隔に遅延がある
- 個別の証明書の状態をリアルタイム照会
- 通信量が少なく効率的
- OCSP サーバーの可用性に依存
- OCSP Stapling で性能問題を緩和
証明書透明性 (Certificate Transparency)
Certificate Transparency (CT) は、Google が 2013 年に提唱した仕組みで、発行されたすべての証明書を公開ログに記録し、不正な証明書の発行を検知可能にします。認証局が誤って (または悪意を持って) 不正な証明書を発行した場合、CT ログを監視することで早期に発見できます。2018 年以降、Chrome は CT ログに登録されていない証明書を信頼しないポリシーを適用しており、事実上の必須要件となっています。公開鍵暗号の仕組みを理解することで、証明書の検証プロセスがより明確になります。
よくある誤解として「HTTPS = 安全なサイト」という認識がありますが、DV 証明書はドメインの所有権しか証明しません。フィッシングサイトも正規の DV 証明書を取得できるため、HTTPS であることとサイトの信頼性は別の問題です。
暗号化の基礎は暗号化の基本の記事で、ブラウザのセキュリティはブラウザパスワード安全性の記事で詳しく解説しています。フィッシング対策もあわせて参照してください。SSL/TLS と証明書の技術書は Amazonでも探せます。
この記事は役に立ちましたか?