認証局の種類と証明書の種類

PKI

認証局は公的に運用を認められたパブリック認証局と、各企業が独自に運用するプライベート認証局があります。公開鍵証明書を利用する際、どちらかの認証局が発行した証明書を利用するのが一般的となります。

今回はそれぞれの認証局の特徴と、パブリック認証局が発行する証明書の種類について説明します。

認証局の種類

冒頭でも軽く触れましたが、認証局は大きく分けて2種類あります。

1つはパブリック (公的) 認証局、もう1つはプライベート (独自) 認証局です。これ以降、認証局をCA(Certification Authority)と略します。

パブリック (公的) CA

パブリック CA は非常に厳しい審査に合格している事業者が運営している CA です。GlobalSign、GeoTrust、VeriSignなどが有名どころですね。

主要なパブリック CA は 認証局(CA)の役割 で説明した「信頼できるルート証明機関」にデフォルトで組み込まれています。Windows だけでなく、iPhone や Android といった携帯端末でも、パブリック CA が発行した証明書は無条件に信頼するようになっています。

パブリック CA に証明書を発行してもらうには費用が掛かります。GlobalSign を例に見てみます。

SSLサーバ証明書 価格一覧|GMOグローバルサイン【公式】
GMOグローバルサインのSSLサーバ証明書は、初期費用・年間保守費用無料。GMOグローバルサインのSSLサーバ証明書各サービスの価格を、認証タイプ別・SSL暗号化ウェブサイト数プラン一覧でご案内いたします。
以下、2022 年 9 月時点の価格情報です。

1 サイト

1 サイトの SSL 証明書を発行してもらう場合の価格です。

例えばこのブログの「https://microsoftou.com」という URL で証明書を発行してもらうケースです。

クイック認証 SSL 企業認証 SSL EV SSL
半年契約 ¥26,840 ¥46,200 -
1年契約 ¥38,280 ¥65,780 ¥140,800

証明書の種類については後述します。

この価格で発行してもらう証明書は「https://microsoftou.com」でしか利用できません。

サブドメイン

続いてサブドメインが異なるケースも対応したい場合です。

例えばこのブログの「https://microsoftou.com」という URL に加え、「https://site2.microsoftou.com」という URL でも利用したい場合です。

クイック認証SSL 企業認証SSL EV SSL
半年契約 ¥99,440 ¥118,800
1年契約 ¥141,680 ¥169,180 -

値段が跳ね上がりますね。

この価格で発行してもらう証明書は「https://*.microsoftou.com」というワイルドカードの設定がしてあり、サブドメインが違うだけであれば、この証明書1つで複数サイトの対応が可能となります。

値段的に 4 つ以上のサブドメインを利用する場合は、こちらの方がお得になりそうですね。他にも色々な種類があるので GlobalSign のサイトを見てみてください。

発行してもらう証明書の種類によって価格が変わります。

プライベート (独自) CA

プライベート CA は企業や個人が独自に構築・運用している CA です。Linux であれば OpenSSL、Windows であれば Active Directory 証明書サービス (AD CS) などで構築した CA ですね。

サーバーの購入費や保守費用・運用コストなどは掛かりますが、証明書を発行するのに費用は掛かりません。自由に設計して自由に証明書を発行できます。

当然ですが、何もしない状態だとクライアントの「信頼できるルート証明機関」には入っていないため、プライベート CA が発行した証明書は信頼できません。クライアントに手動で「信頼できるルート証明機関」に追加する必要があります。

プライベート CA は独自の設計・運用が可能です。

どちらの CA を利用するかの選択

パブリック CA に証明書を発行してもらうか、プライベート CA で証明書を発行するか、目的によって変わります。

それぞれの一例を書いてみます。(※注:個人的見解です。)

【パブリック CA に発行してもらうケース】

  • ソフトウェアやハードウェアの要件でパブリック CA に発行してもらう必要がある。
    ⇒要件でパブリック CA が発行する証明書を利用する必要がある場合は一択ですね。
  • 自社以外に公開するサービスで、アクセス元が不特定多数の場合。
    ⇒これは先に説明した「パブリック CA はデフォルトで信頼されている」ためです。自社以外に公開するサービスでプライベート CA を信頼してもらう、というのはありえない構成だと思います。
【プライベート証明機関で発行するケース】

  • アクセス元が限定的
    ⇒端末の「信頼できるルート証明機関」にプライベート CA を登録できさえすれば、パブリック CA と動作的にはなんら変わりありません。自社端末であればその制御が可能なため、自社以外の人が利用しないサービスなどは、発行費用の掛からないプライベート CA で発行するのがいいと思います。※もちろん発行する数によります。1 つの証明書を発行するためにプライベート CAを 構築して運用する、、というのはナンセンスだと思います。
  • クライアント証明書を利用したい
    ⇒クライアントを認証するクライアント証明書を利用したい場合はプライベート CA を利用するのがベターだと思います。もちろんパブリック CA でも発行可能ですが、必要な数が多いほどコストが高くなります。数人レベルであれば上と同じ理由でパブリック CA に発行してもらうのも無しではないかと思います。
証明書を使う目的と費用のバランスを考えて、どちらの証明書を利用するか決める必要があります。

証明書の種類(SSL)

パブリック CA が発行する SSL 証明書には以下3種類あります。カッコ内の記述は GlobalSign での呼び方です。

  • ドメイン認証型 (クイック認証 SSL)
  • 企業認証型 (企業認証 SSL)
  • EV SSL (EV SSL)

ドメイン認証型 (クイック認証 SSL)

一番お手軽な証明書です。ドメインの所有権を確認出来れば誰でも発行してもらえます。逆に言うと所有権を確認出来ないドメインに対しては発行できません。(当たり前ですが)

知らない人が *.microsoftou.com の証明書を持っていたら困りますね。

ドメイン所有権の確認方法についてはいくつかありますが、以下の3パターンくらいかなと思います。

  1. ドメイン固有のメールアドレスでの認証
    ⇒*****@microsoftou.com というメールが使えるのは「microsoftou.com」の所有者だけ、という理屈です。
  2. ドメイン審査コードによる認証
    ⇒ドメイン審査コードと呼ばれるものを自分のホームページに表示することで、そのドメインの所有権を確認する方法です。
  3. DNS レコードによる認証
    所有するドメインの DNS サーバーに、認証文字列を記載した TXT レコードを構成します。

いずれかの手法でドメイン所有権を確認出来た場合に限り、証明書を発行してもらえます。

企業認証型 (企業認証 SSL)

上記ドメイン所有権に加え、第三者データベースを照会し、法的に実在している組織であるかを確認します。

また、第三者データベースに記載してある企業代表電話番号への電話確認もあります。

EV 証明書

企業認証型よりさらに厳格な審査があります。登記事項証明書を確認したり、物理的に組織が存在するかを確認したり・・・・EV 証明書を発行してもらうのはとにかく大変です。その分、EV 証明書は信頼性が高いものになります。

EV 証明書で構成してある Web サイトは、ブラウザーのアドレスバーに緑の文字で会社名が表示されます。Chrome だと以下のようになります。

アドレスバーが緑で会社名が表示されていたら、そのサイトは EV 証明書を取得している、非常に信頼できるサイトとなります。

まとめ

認証局は大別して以下の2種類です。

  • パブリック (公的) 認証局
  • プライベート (独自 )認証局

どちらの認証局を利用するかは、証明書の利用目的費用のバランスを考えて決定する必要があります。

また、パブリック CA に発行してもらう SSL 証明書の種類は以下の 3 種類でした。

  • ドメイン認証型 (クイック認証 SSL)
  • 企業認証型 (企業認証 SSL)
  • EV SSL (EV SSL)

こちらについてはどのレベルの信頼性を求めるかにより、種類を決定します。下に行けば行くほど審査も厳しく、信頼性の高い証明書になります。

以上、認証局の種類と証明書の種類でした。

コメント

タイトルとURLをコピーしました