SSL通信 認証局編

SSL通信シリーズの認証局編を自分なりにまとめてみた!

保身のためにゆーとくと、理解が甘かったりする部分は少なからずあると思ってますので、あくまで参考程度にしてください。

ま、こうはゆーてるけど、SSL通信の構築に結構ハマった身なんでそれなりに理解しているつもりです。では、始めます

この記事で説明する箇所は、下の図の上部

ルート認証局・中間認証局・認証局の箇所ですーーー!

出てくるキーワードは、

・認証局

・秘密鍵

・署名要求(CSR)

・電子証明書(CRT)

・認証レベル(EV・OV・DV)

あたりかな。

◆認証局

こいつは、簡単にいうと「身分証明書の信頼性」を保証してくれる人です。

例えば、運転免許証。これって当然ながら普通に配ってるものではなくて、自動車免許試験に合格してもらえるものですよね。

この運転免許証は、「住所」「生年月日」「いつ交付されたか」「いつまで有効か」「どこの公安委員会が発行したか」なんかが記載されてる。

この、どこそこ公安委員会にあたる部分が認証局ってこと。

公安委員会って、軽く調べてみると都道府県ごとにあるみたいで、

それをさらにまとめてるボスが、国家公安委員会ってのがあるっぽい。

こんな感じの構成。

このラスボスの国家公安委員会に当たるのが、SSL通信でいうところの「ルート認証局」になる。

で、緑色の都道府県公安委員会に当たるのが「中間認証局」

実際に我々が免許証をもらう警察署に当たるのが、最初の図画面右上の「認証局」って感じ。

SSL通信の世界では、「電子証明書」ってのを使って、身分を証明します。

運転免許証みたいなもんやね。

では、この電子証明書。どういう時に使うかっていうと、我々がインターネットでWebサイトにアクセスした時にそのサイトが「フィッシングサイトでないか」、「悪意あるサイトでないか」を証明するために、Webサイトはこの電子証明書を使う。

で、この電子証明書を受け取ったブラウザ(Chrome,Safari,FireFox, InternetExplorerなどのインターネットを利用するためのソフト)は、その電子証明書がどこから発行されたものなのかを調べます。

調べた結果、その電子証明書が本物だと確認できればWebサイトを表示する。

本物か確認できなかった場合は、こういった警告画面が表示される

こんな画面が出たらアクセスしたくないですよね。笑

なので、サイト運営者は認証局に電子証明書を発行してもらうのがマストになるわけですな。

認証局について、ある程度わかったところで次はその仕組みについて説明するよ。

どうゆう仕組みでこの電子証明書を作っているのか。

ここでまた、先ほどの図を見てみる

秘密鍵・公開鍵なんていう言葉がありますな。これはキーペアっていって2つ揃って初めて機能を発揮するもの。

具体的にいうと、データを暗号化したり、復号化したりするのに使用される

詳細は、「SSL通信 公開鍵暗号方式と共通鍵暗号方式」を見てもらうとして、簡単に説明すると、秘密鍵で暗号化したものは、ペアになってる公開鍵でしか復号化できず、公開鍵で暗号化したものは、ペアになってる秘密鍵でした復号化できない。

そして、公開鍵はみんなに配る用で、秘密鍵は作った本人が厳重に保管。そうすることで、この公開鍵で暗号化された通信を復号化できるのは、その公開鍵を作った本人のみということになる。逆にいうと、この秘密鍵で復号化できないものは、偽物ってことがわかるし、第三者が他人の暗号化したデータを復号化して盗み見ることができない仕組み。

この仕組みを利用して電子証明書は作られている。

まず、電子証明書が欲しいってなった場合、そのWebサイト自身がキーペア(秘密鍵を公開鍵)を作成する。この秘密鍵はWebサイトが厳重管理する。キーペアを作ったら今度は署名要求(CSR)というものを作る。これは、認証局に署名をお願いするためのもので、このCSRには、公開鍵が入っている(正確にはハッシュ値)。

CSRを受け取った認証局は、そのWebサイトが本当に実在するのかを確認する。

この確認には、レベルがあってそれを認証レベルというが、認証レベルについては後述するので確認できたものとして話を進める。

ちなみに、なんで確認する必要があるかというと、実在しない悪意あるサイト運営者である可能性があるから。確認せずに全てに署名していたらその認証局自体の信頼性も無くなっちゃいますからね。しっかり確認します。

Webサイトの存在が確認できたら、認証局は自身の秘密鍵でCSRに署名をします。これでようやく電子証明書が完成するわけです。電子証明書を受け取ったWebサイトは、晴れて安全なWebサイトの仲間入りを果たすっていう流れ。

これがわかればもうこっちのもんで、中間認証局やルート認証局も全く同じ。

Webサイトに電子証明書を発行した認証局は、自身の信頼性を担保するために、キーペアを作って、CSRを中間認証局に送って、中間認証局が本物か確認し、中間認証局の秘密鍵でCSRに署名。これで認証局は中間認証局から電子証明書をもらうことができる。

中間証明書も同様にしてルート認証局から署名・発行してもらう。

ただ、ルート認証局だけ特別で誰が本物か確認し署名するのかっていうと、自分で作った秘密鍵で自分で作ったCSRに署名をして電子証明書を作成する。

結構野蛮ですね笑

ま、でもこれが許されているのは限られた認証局だけ。(Verisign,Entrustなど)

個人単位で認証局を作っちゃうオレオレ認証局ってのも実際やることあるんやけど、これはまた別記事で書きまーーす。

最後に、認証レベルについて説明して終わろうと思います。

ちょろっと書いたけど、認証局はサーバから受け取ったCSRに署名する前に、そのWebサイトが「実在するかどうか」「本物かどうか」を確認する。

このレベルによって上から順に「EV、OV、DV」て位がわかれてて、EVが最高で認証基準が厳しく、お金もかかる。

ただ、EVレベルの証明を受けたWebサイトはもう超安全で超信頼される証をもらえる。

銀行なんかのWebサイトにアクセスした時にアドレスバーが緑色になることありますやん?(緑の鍵マーク)これ、EVレベルの証明を受けた証なんすわ。

EVレベルでの確認事項は、そのサイトが存在するかはもちろんその企業自体が存在しているのか、住所確認なんかまでする。

OVレベルでの確認事項は、そのサイトが存在するのかに加えて、サイトを運営している組織が実在しているのかの確認までする。

最後のDVレベルでは、そのサイトが存在するのかのみ確認する。

って感じ。

なんで、Webサイトにアクセスした時にセキュリティ警告画面が出ないからといって完全に安全というわけではないってこと。悪意あるサイトがDVレベルの認証を受けてたりする可能性だって考えられるからですね。

以上、認証局編でした。

コメント

タイトルとURLをコピーしました