証明機関(CA)は、過去XNUMX年間オンラインでのセキュリティの基盤となってきました。デジタル証明書は、トランザクションとIDのセキュリティを確保するための信頼できる方法であり続けています。 基本的に、CA署名付き証明書は、IDをオンラインで認証する貴重なツールです。 他の方法では安全でないネットワークを介した安全な暗号化通信を許可する。 署名されたドキュメントが第三者によって改ざんされていないことを確認することにより、ドキュメントの整合性を確認します。
しかし、CAの価値は、実際の実用性を超えて広がります。 ユーザーにとって非常に単純な検証プロセスは、単純なファクトチェックを超えた一連の作業と信頼の連鎖によって支えられています。
CAは何をしますか?
ブラウザとオペレーティングシステムのベンダーは、以下を確認するためにパブリックCA(SSL.comなど)を信頼しています。
- ドメイン名の管理
- 組織とその代理人の正当性
- メールアドレスなどの連絡先情報
CAは多くのタイプの証明書を発行し、すべてに基づいています X.509 標準。 CAが発行した証明書により、Webサイトのトランザクションが安全でマルウェアから保護され、ドキュメントと電子メールの交換が認証されます。インターネット上でのIDの確立は、さまざまなプロセス、手順、プロトコルを通じて行われ、すべてCAによって保証されます。 例えば:
- SSL /TLS は、ブラウザーを介してWorld Wide Webにアクセスするための信頼できる暗号化された手段を提供します。これにより、個人情報とトランザクションが保護されます。
- デジタル署名 認証されたデジタルドキュメントを提供する。
- コード署名 インターネット上のソフトウェアの安全な配布を可能にします。
- S/MIME 認証および暗号化された電子メールを有効にします。
- クライアント認証 証明書は、コンピューターおよびアプリケーションへのアクセスを保護します。
これらはすべて、パブリックCAのルート証明書にアンカーされ、「信頼の連鎖"
公に信頼されたCAになるのが難しいのはなぜですか?
上で概説したように、CAは、オペレーティングシステムやその他のソフトウェアから信頼され、Webサイト、企業、個人の身元を確認します。 パブリックCAが確立され、ソフトウェアベンダーや他のプレーヤーの信頼を獲得すると、そのデジタル証明書は、情報が不正ではないことを確認するための瞬時の安全で信頼性の高い方法になります。 自己署名されたルートCAを作成するプロセスは比較的簡単です。正直に言うと、広く利用可能な低コストまたは無料のソフトウェアを使用する誰でも作成できます。 ただし、実際には公的認証局はそれほど多くありません。 実際、現在は 52のCAメンバー CA /ブラウザフォーラム、およびSSL /の大部分TLS 証明書はそれよりも小さい数から来ています。 では、なぜ誰もがそれらを作成しないのですか?
公的認証機関がこのように排他的なクラブである理由は、公的CAになり、機能を維持するための普遍的な信頼を得て維持することは多くの作業であるためです。 すべてのブラウザーとオペレーティングシステムへの組み込みは、ユーザーの側でシームレスですが、舞台裏で何年ものレッグワークが必要です。 新しいコンピューターを購入するか、Webブラウザーや電子メールクライアントなどのソフトウェアをインストールすると、信頼されたルートCA証明書のリストが既に含まれています。 しかし、そのリストに追加されるのは一夜にして起こることではなく、そこに留まることも困難です。
証明書をビジネスで販売するためには、CAはソフトウェアベンダーの要件を満たす必要があります。ソフトウェアベンダーはすべて、ユーザーに対して安全で信頼性の高いエクスペリエンスを保証しようとしています。 主要なブラウザとオペレーティングシステムの各ベンダーには、CAが満たす必要のある独自の一連の基準があり、変更が加えられたときに対応する必要があります。 そうしないとコストが高くなります。CAがルートプログラムのいずれにも含まれていない場合、それは信頼の違反によるものか、ポリシーの変更による最新の状態の維持の失敗によるものかは関係ありません。ビジネス全体。 Safariで動作するがChromeでは動作しないWebサイトSSL証明書を探している企業はありません。 Windowsが信頼しないコード署名証明書を必要とするソフトウェアプロデューサーはほとんどいません。
ブラウザー、オペレーティングシステム、その他のソフトウェアプロバイダーとのこの微妙なバランスを維持することに加えて、認証局は厳格な外部監査の対象となります。 このサイトの下部にあるバッジをご覧ください。 これらのシールはそれぞれ監査を表しており、これらの監査は毎年行われます。 CAが監査に失敗した(またはルートプログラムの要件を満たさなかった)場合、そのCAの証明書は重要なルートストアから除外され、役に立たなくなる可能性があります。
のCAメンバー CA /ブラウザフォーラム (CAとベンダーのコンソーシアム PKIブラウザーやオペレーティングシステムなどの対応ソフトウェア)は、数十の業界標準の開発と実施、およびCA / Bフォーラムの設定に積極的です ベースライン要件。 メンバーは教育研究機関に参加し、利害関係者と協力してインターネットセキュリティを強化し、多くの場合、新しい標準の提案と採用を主導します。 CAは、SSL /を確認することに最も関心があります。TLS システムは機能しており、その評判は堅実です。つまり、システムおよびシステムと連携して動作するシステムのセキュリティに対して積極的かつ積極的に取り組みます。
これらの標準に準拠することに加えて、認証局は、証明書の透明性リスト(発行されたすべての証明書の公開記録)、および失効した証明書を追跡する証明書失効リスト(CRL)とOCSPレスポンダを維持し、利用できるようにする必要があります。 すべての証明書が説明されていること、および証明書を支える信頼が破られないことを確認することが最も重要です。
CAを選択する方法
では、公的認証局の維持と運用に関わるすべての作業を知った上で、どのCAが自分たちのニーズに最適かをどのように判断するのでしょうか。
現在、低コスト(または無料)のCAオプションがありますが、その低コストで何が取引されているかを知ることは重要です。 一般に、無料のCAは、商用のCAと同じ検証レベルを提供せず、WebサイトSSL /以外のものも提供しません。TLS 証明書。 たとえば、WebサイトSSL /の申請者であることを示すことができます。TLS 証明書はそのドメインを制御しますが(ドメイン検証)、その所有者が誰であるかを確認するという追加の手順は実行されません。 使用目的によっては、DVで問題ない場合もありますが(SSL.comを含むすべての商用CAでも提供されます)、コード署名証明書、Adobe PDFのデジタル署名、またはビジネスに関する検証済みの情報が必要な場合は、ウェブサイトの証明書、あなたは商用CAに行く必要があります。
信頼できるCAの選択の詳細については、 ベストプラクティスガイド.