認証局の種類と証明書の種類 ~PKI基礎③~

PKI

認証局は公的に運用を認められたパブリック認証局と、各企業が独自に運用するプライベート認証局があります。公開鍵証明書を利用する際、どちらかの認証局が発行した証明書を利用するのが一般的となります。

今回はそれぞれの認証局の特徴と、パブリック認証局が発行する証明書の種類について説明します。

認証局の種類

冒頭でも軽く触れましたが、認証局は大きく分けて2種類あります。

1つはパブリック(公的)認証局、もう1つはプライベート(独自)認証局です。これ以降、認証局をCA(Certification Authority)と略します。

パブリック(公的)CA

パブリックCAは非常に厳しい審査に合格している事業者が運営しているCAです。GlobalSign、GeoTrust、VeriSignなどが有名どころですね。

主要なパブリックCAは認証局(CA)の役割 ~PKI基礎②~で説明した「信頼できるルート証明機関」にデフォルトで組み込まれています。Windowsだけでなく、iPhoneやAndroidといった携帯端末でも、パブリックCAが発行した証明書は無条件に信頼するようになっています。

パブリックCAに証明書を発行してもらうには費用が掛かります。GlobalSignを例に見てみます。

SSLサーバ証明書 価格・機能一覧|GMOグローバルサイン【公式】
グローバルサインのSSLサーバ証明書は、初期費用・年間保守費用無料。グローバルサインのSSLサーバ証明書各サービスの価格を、認証タイプ別・SSL暗号化ウェブサイト数プラン一覧でご案内いたします。

1サイト

1サイトのSSL証明書を発行してもらう場合の価格です。

例えばこのブログの「https://microsoftou.com」というURLで証明書を発行してもらうケースです。

 クイック認証SSL企業認証SSLEV SSL
1年契約¥34,800¥59,800¥128,000
2年契約¥66,000¥114,000¥244,000

証明書の種類については後述します。この価格で発行してもらう証明書は「https://microsoftou.com」でしか利用できません。

サブドメイン

続いてサブドメインが異なるケースも対応したい場合です。

例えばこのブログの「https://microsoftou.com」というURLに加え、「https://site2.microsoftou.com」というURLでも利用したい場合です。

 クイック認証SSL企業認証SSLEV SSL
1年契約¥128,800¥153,800
2年契約¥246,000¥294,000

値段が跳ね上がりますね。

この価格で発行してもらう証明書は「https://*.microsoftou.com」というワイルドカードの設定がしてあり、サブドメインが違うだけであれば、この証明書1つで複数サイトの対応が可能となります。

値段的に4つ以上のサブドメインを利用する場合は、こちらの方がお得になりそうですね。他にも色々な種類があるのでGlobalSignのサイトを見てみてください。

発行してもらう証明書の種類によって価格が変わります。

プライベート(独自)CA

プライベートCAは企業や個人が独自に構築・運用しているCAです。LinuxであればOpenSSL、WindowsであればActive Directory証明書サービス(AD CS)などで構築したCAですね。

サーバーの購入費や保守費用・運用コストなどは掛かりますが、証明書を発行するのに費用は掛かりません。自由に設計して自由に証明書を発行できます。

当然ですが、何もしない状態だとクライアントの「信頼できるルート証明機関」には入っていないため、プライベートCAが発行した証明書は信頼できません。クライアントに手動で「信頼できるルート証明機関」に追加する必要があります。

プライベートCAは独自の設計・運用が可能です。

どちらのCAを利用するかの選択

パブリックCAに証明書を発行してもらうか、プライベートCAで証明書を発行するか、目的によって変わります。

それぞれの一例を書いてみます。(※注:個人的見解です。)

【パブリックCAに発行してもらうケース】

  • ソフトウェアやハードウェアの要件でパブリックCAに発行してもらう必要がある。
    ⇒要件でパブリックCAが発行する証明書を利用する必要がある場合は一択ですね。
  • 自社以外に公開するサービスで、アクセス元が不特定多数の場合。
    ⇒これは先に説明した「パブリックCAはデフォルトで信頼されている」ためです。自社以外に公開するサービスでプライベートCAを信頼してもらう、というのはありえない構成だと思います。
【プライベート証明機関で発行するケース】

  • アクセス元が限定的
    ⇒端末の「信頼できるルート証明機関」にプライベートCAを登録できさえすれば、パブリックCAと動作的にはなんら変わりありません。自社端末であればその制御が可能なため、自社以外の人が利用しないサービスなどは、発行費用の掛からないプライベートCAで発行するのがいいと思います。※もちろん発行する数によります。1つの証明書を発行するためにプライベートCAを構築して運用する、、というのはナンセンスだと思います。
  • クライアント証明書を利用したい
    ⇒クライアントを認証するクライアント証明書を利用したい場合はプライベートCAを利用するのがベターだと思います。もちろんパブリックCAでも発行可能ですが、必要な数が多いほどコストが高くなります。数人レベルであれば上と同じ理由でパブリックCAに発行してもらうのも無しではないかと思います。

 

証明書を使う目的と費用のバランスを考えて、どちらの証明書を利用するか決める必要があります。

証明書の種類(SSL)

パブリックCAが発行するSSL証明書には以下3種類あります。カッコ内の記述はGlobalSign での呼び方です。

  • ドメイン認証型(クイック認証SSL)
  • 企業認証型(企業認証SSL)
  • EV SSL(EV SSL)

ドメイン認証型(クイック認証SSL)

一番お手軽な証明書です。ドメインの所有権を確認出来れば誰でも発行してもらえます。逆に言うと所有権を確認出来ないドメインに対しては発行できません。(当たり前ですが)

知らない人が*.microsoftou.comの証明書を持っていたら困りますね。

ドメイン所有権の確認方法についてはいくつかありますが、以下の3パターンくらいかなと思います。

  1. ドメイン固有のメールアドレスでの認証
    ⇒*****@microsoftou.comというメールが使えるのは「microsoftou.com」の所有者だけ、という理屈です。
  2. ドメイン審査コードによる認証
    ⇒ドメイン審査コードと呼ばれるものを自分のホームページに表示することで、そのドメインの所有権を確認する方法です。
  3. DNSレコードによる認証
    所有するドメインのDNSサーバーに、認証文字列を記載したTXTレコードを構成します。

いずれかの手法でドメイン所有権を確認出来た場合に限り、証明書を発行してもらえます。

企業認証型(企業認証SSL)

上記ドメイン所有権に加え、第三者データベースを照会し、法的に実在している組織であるかを確認します。

また、第三者データベースに記載してある企業代表電話番号への電話確認もあります。

EV証明書

企業認証型よりさらに厳格な審査があります。登記事項証明書を確認したり、物理的に組織が存在するかを確認したり・・・・EV証明書を発行してもらうのはとにかく大変です。その分、EV証明書は信頼性が高いものになります。

EV証明書で構成してあるWebサイトは、ブラウザーのアドレスバーに緑の文字で会社名が表示されます。Chromeだと以下のようになります。

アドレスバーが緑で会社名が表示されていたら、そのサイトはEV証明書を取得している、非常に信頼できるサイトとなります。

まとめ

認証局は大別して以下の2種類です。

  • パブリック(公的)認証局
  • プライベート(独自)認証局

どちらの認証局を利用するかは、証明書の利用目的費用のバランスを考えて決定する必要があります。

また、パブリックCAに発行してもらうSSL証明書の種類は以下の3種類でした。

  • ドメイン認証型(クイック認証SSL)
  • 企業認証型(企業認証SSL)
  • EV SSL(EV SSL)

こちらについてはどのレベルの信頼性を求めるかにより、種類を決定します。下に行けば行くほど審査も厳しく、信頼性の高い証明書になります。

以上、認証局の種類と証明書の種類でした。

コメント