認証局(CA:Certification Authority)とは、インターネット上のウェブサイトの運営者やシステムなどの利用者に対し、正しい人物や機器が本物であるかどうかの認証を行います。このページではその役割と仕組み、種類についてわかりやすく説明します。

認証局の役割

認証局の役割の一つ目は電子証明書を発行することです。たとえば、メールの暗号化などに使われるクライアント証明書の発行の場合、登記事項証明書や印鑑登録証明書を用いて申請元の企業が実在しているかを確認したりします。

認証局とは

二つ目の役割は、失効の依頼を受けた電子証明書や秘密鍵の危殆化の可能性のある証明書を失効させることです。

電子証明書の所有者が自分の秘密鍵を紛失したり盗まれたりして、その秘密鍵が悪意のある者の手に渡ってしまった場合、本来の所有者になりすますことができてしまいます。 そのため、所有者は秘密鍵を盗まれてしまった場合などは、そのことを直ちに認証局に届け出て、証明書の失効処理を行わなければならなりません。 届け出を受けた認証局は、失効した証明書のリストを公開します。証明書の失効情報の公開の仕方には、現在大きく分けて2つ存在します。

  1. CRL(Certificate Revocation List)の配布
  2. OCSP(Online Certificate Status Protocol)による問い合わせへ応答

CRL(証明書失効リスト)とは、認証局が失効させた電子証明書のリストで、認証局から発行されます。利用者はCRLを確認することで、電子証明書が失効していないかを確認することができます。

OCSPとは、電子証明書の失効問い合わせのためのプロトコルです。電子証明書の提示を受けたアプリケーションは、その電子証明書の有効性をOCSPに問い合わせます。OCSPでは自分が管理している失効リストに問い合わせのあった電子証明書がないかどうかを確認し、返答します。

また、電子証明書を失効させるのは秘密鍵が失われた場合だけではありません。電子証明書の記載事項が変更された場合も失効の対象となります。
たとえば、電子証明書を所有している企業の社名やURLが変更されたときには、所有者は認証局に連絡して電子証明書の失効を申し出ます。

秘密鍵が盗まれた場合、認証局に失効を申し出る

認証局の構成

認証局は、電子証明書の申請者が提出した所有者情報を審査する機関である登録局(Registration Authority)、登録局からの要求に基づいて実際に電子証明書の発行や失効を行う機関である発行局(Issuing Authority)、ならびに認証局に関する情報や電子証明書の有効性に関する情報を提供するリポジトリ(Repository)から構成されています。リポジトリの公開を義務付けている認証局では、リポジトリからルート証明書や中間CA証明書、CRLをダウンロードすることができます。

電子証明書の発行
  1. 電子証明書の発行を依頼
  2. 本人確認
  3. リポジトリ登録
  4. 電子証明書を発行

パブリック認証局とプライベート認証局

認証局には、2種類の形があります。1つはGMOグローバルサインなどのパブリック認証局です。
パブリック認証局が発行する電子証明書のルート証明書は、一般的なウェブブラウザやメールソフトにあらかじめ組み込まれており、ルート証明書の配布やインストールが不要なため、取引先など外部とのやり取りに電子証明書を利用する場合に煩雑な設定が必要なく便利です。

2つ目は、事業会社などが独自の運用基準を設けて設立したプライベート認証局です。 プライベート認証局はルート証明書の配布や設定などに手間が掛かりますが、運用規程を自由に設定できるため、社内だけなど、限られたネットワークで電子証明書を利用する場合は、プライベート認証局を設立し電子証明書を発行する方が便利です。