ネットワークセキュリティ
認証局(CA)
別称: CA, 発行 CA
定義
公開鍵をドメイン名や組織などの検証済みの身元と結びつけ、デジタル証明書を発行・署名する信頼された機関。
認証局は、自らの証明書ポリシー(公開 Web では DV・OV・EV、コード署名や適格証明書ではさらに厳格な規定)に従って申請者の身元を検証し、自身の秘密鍵で X.509 証明書を署名します。CA は PKI の信頼チェーンの頂点に位置し、ルート CA はオフラインで保管され、厳重に管理された中間 CA のみを署名します。中間 CA はサーバー・人・デバイス用のエンドエンティティ証明書を発行します。ブラウザや OS にはあらかじめ信頼されたルートストアが組み込まれています。CA は CRL の公開、OCSP レスポンダーの運用、Certificate Transparency への提出によって不正発行の検知を支えます。
例
- Let's Encrypt、DigiCert、Sectigo など、Web 向け TLS 証明書を発行する公開 CA。
- ユーザー・サーバー・デバイスに証明書を発行する企業の内部 CA。
関連用語
公開鍵基盤(PKI)
ポリシー・ソフトウェア・ハードウェア・信頼された機関の総体で、身元と公開鍵を結びつけるデジタル証明書を発行・配布・検証・失効させる。
X.509 証明書
信頼された CA の署名によって公開鍵と身元を結びつける、標準化されたデジタル証明書の構造。
証明書失効リスト(CRL)
CA が定期的に署名・公開する、本来の有効期限前に失効させた証明書の一覧で、依存当事者が失効済み証明書の検出に用いる。
OCSP(オンライン証明書ステータスプロトコル)
クライアントが CA のレスポンダに対し、特定の X.509 証明書が有効・失効・不明のいずれであるかを HTTP 上でリアルタイムに問い合わせるプロトコル。
EV(Extended Validation)証明書
申請組織の法的身分・物理的存在・申請権限を CA が厳格な標準手続きで検証したうえで発行される TLS 証明書。
自己署名証明書
外部の CA を介さず、証明書に含まれる公開鍵に対応する秘密鍵自身で署名されたデジタル証明書。