はじめに
本書の目的
本ドキュメントはSSL/TLSサーバー証明書の基礎から実装までを、わかりやすく解説します。専門用語は最小限にし、具体例で補います。たとえば、ネット通販やインターネットバンキングで表示される鍵マークが何を意味するかを理解できます。
対象読者
ウェブ管理者や開発者、ITに詳しくない方まで幅広く想定します。初めて学ぶ方でも順を追って理解できるように構成しています。
本書の構成
第2章で「証明書とは何か」を視覚的な例を交えて説明します。第3章では通信がどう暗号化され、どのように安全性が確かめられるかを丁寧に示します。第4章では証明書の役割や発行の仕組み、証明書チェーンの概念を具体的に解説します。
読み方の提案
まずは第2章から順に読むことをおすすめします。急いで概要を知りたい場合は第4章の「証明書の役割」を先に読むと実務に役立つ知識を早く得られます。
SSL/TLSサーバー証明書とは
概要
SSL/TLSサーバー証明書は、Webサイトと利用者の間の通信を暗号化し、サイトの身元を証明するデジタル証明書です。たとえば、オンラインショップでクレジットカード情報を送る際、証明書があれば第三者に見られにくくなり、サイトが本物かどうかも確認できます。
証明書に含まれる主な情報
- 運営者情報:サイトのドメイン名や組織名が入ります。利用者はこれでサイトの所有者を確認できます。
- 公開鍵:サーバーが公開する鍵で、通信の暗号化に使います。対応する秘密鍵はサーバーが安全に保管します。
- デジタル署名:認証局(CA)が発行時に付ける署名で、証明書が改ざんされていないことを保証します。
構成要素(簡単な説明)
- 署名前証明書:証明書を発行する前に提出する情報や申請書のようなもの(CSRに相当)。サイトの所有を確認するために使います。
- デジタル署名のアルゴリズム:誰がどの方法で署名したかを示す情報(例:RSAやECDSA)。ブラウザはこの情報を使って署名を検証します。
- デジタル署名:CAが証明書に付ける電子的な署名で、CAの秘密鍵で作られます。これにより証明書の正当性を確認できます。
簡単な利用の流れ
- サイト運営者が証明書を申請(署名前証明書を提出)。
- CAが運営者を確認して証明書を発行、デジタル署名を付与。
- 利用者がサイトに接続すると、サーバーが証明書を送る。ブラウザはCAの署名を検証して、暗号化通信を始めます。
次章では、これらが具体的にどのように働くかを詳しく説明します。
SSL/TLSの仕組みの詳細
証明書チェーンの構造
SSL/TLSの信頼は階層で成り立ちます。最上位にあるのがルート証明書、その下に中間CA証明書、さらにサイトが持つサーバー証明書の三層です。ブラウザはサーバー証明書から順に上へたどり、最終的に自分が信頼するルート証明書に到達すると「信頼できる」と判断します。例えば手紙の宛先を確認するために差出人→郵便局→国の公的機関を辿るイメージです。
ハンドシェイクの流れ(2つの段階)
ハンドシェイクは大きく二段階に分かれます。第1段階は身元確認と鍵のやり取り、第2段階は実際のデータ送受信です。まずブラウザがサーバーへ接続要求を送り、サーバーは自分の証明書を渡します。ブラウザは証明書を検証し、問題なければ鍵交換を行います。鍵交換で安全な共通鍵を決めると、その後は高速な対称暗号で通信を続けます。
身元確認とデジタル署名
証明書の正当性は認証局(CA)のデジタル署名で確かめます。サーバー証明書には公開鍵と所有者情報が入っており、CAはその内容に署名します。ブラウザはCAの公開鍵で署名を検証し、改ざんがないか、発行先が正しいかを確認します。
鍵交換と暗号化の役割
公開鍵暗号で安全に共通鍵を作り、実際の通信は速い対称鍵で暗号化します。RSAやDiffie-Hellmanといった方式が使われ、どれを使うかはハンドシェイクで決まります。これにより通信の機密性と整合性が保たれます。
証明書の検証と失効チェック
ブラウザは証明書の有効期限や発行先、チェーンの繋がりを確認します。さらに失効リスト(CRL)やオンライン確認(OCSP)で取り消し情報を調べ、失効していれば接続を拒否します。
SSL/TLSサーバー証明書の役割と機能
概要
SSL/TLSサーバー証明書は、主に「通信の暗号化」と「Webサイトの身元保証」という二つの役割を持ちます。ここでは日常の例を交えてわかりやすく説明します。
暗号化で守る通信
証明書はブラウザとサーバーの間で安全な鍵を作る手助けをします。たとえば、ログイン情報やクレジットカード番号を送るとき、第三者が通信を盗み見できません。家の鍵のように、正しい相手だけが中身を読むことができます。
身元を証明する
証明書はそのサイトが本物かを示します。認証局(CA)が企業や組織の情報を確認して発行します。銀行やネットショップで証明書があると、偽サイトにだまされるリスクが下がります。ブラウザの鍵アイコンを確認すると安心です。
改ざん防止(完全性)
証明書を使った通信は、途中でデータを書き換えられていないかもチェックします。支払い額や送信内容が途中で変わることを防ぎます。
信頼の仕組み(証明書チェーン)
証明書は単独で信頼されるのではなく、上位の認証局につながる「チェーン」で検証されます。ブラウザが最上位の認証局を信頼していることで、その下の証明書も信頼されます。
運用上の注意点
証明書には有効期限があります。期限切れや誤った設定はブラウザ警告を招きます。定期的な更新や失効時の対応、発行元の管理が重要です。自動更新を利用すると安全性が高まります。
