認証局(CA)とは
認証局(Certificate Authority, CA)は、デジタル証明書を発行し、公開鍵と所有者の身元を結びつける信頼された第三者機関です。Webブラウザやオペレーティングシステムは、ルートCAの証明書を「トラストストア」に事前登録しています。
CAの種類
- ルートCA:信頼の起点。ブラウザに事前登録
- 中間CA:ルートCAから権限を委譲され、実際の証明書を発行
- 企業内CA:組織内部で使用するプライベートCA
主要な公開CA
- Let's Encrypt:無料、自動化、ACME対応
- DigiCert:高信頼性、EV証明書
- Sectigo(旧Comodo):大手CA
- GlobalSign:企業向け
証明書の検証レベル
| 種類 | 検証内容 | 用途 |
|---|---|---|
| DV(Domain Validation) | ドメイン所有権のみ | 個人、小規模サイト |
| OV(Organization Validation) | 組織の実在確認 | 企業サイト |
| EV(Extended Validation) | 厳格な組織審査 | 金融機関、大企業 |
CAのセキュリティインシデント
過去にはCA自体が侵害される事例がありました:
- DigiNotar(2011年):不正証明書発行、廃業
- Symantec(2017年):信頼取り消し