(O+P)ut

OutPut Log by SE in SIer



(O+P)ut

OutPut Log by SE in SIer

自己署名証明書とオレオレ証明書の違い

スポンサーリンク

結論

オレオレ証明書自己署名証明書
です。

以下、解説となります。

解説

まずは、言葉を整理します。

自己署名証明書 公開鍵を私有鍵で署名した公開鍵証明書
公開鍵証明書 公開鍵と、その所有者を特定するための情報を結びつける証明書

ここまで読むと流れが見えてきます。

あるサーバの公開鍵の署名は一般的には外部の認証局秘密鍵で行います。外部の認証局秘密鍵なので、私有ではありません。

f:id:mtiit:20181229090132p:plain
( https://cspssl.jp/guide/certificate.php より画像を抜粋 )

(補足)なぜ認証局秘密鍵で署名?

ところが信用ある認証局に署名してもらうにはコストが発生するので、信用のない自らが用意した認証局秘密鍵で署名しようとするのがオレオレ証明書です。ポイントは、署名する公開鍵の持ち主と認証局秘密鍵の持ち主が同一である点です。

利用する上では、クライアント側に事前に自前で用意した認証局ルート証明書(≒認証局の公開鍵)をインストールしておく必要があります。
大手認証局ルート証明書は、パソコンやスマートフォンに初期設定としてインストールされています。

ただし、大手認証局ルート証明書も、自己署名証明という意味では自己署名証明ではあります。
なぜなら、ルート認証局は最上位の認証局であるため、自らの公開鍵の署名を自らの秘密鍵で行うしかないからです。

ルート認証局 自分の正当性を自分自身で証明できる。
他の認証局に証明書を発行できる最上位の認証局
中間認証局 自分の正当性を自分自身で証明できず、上位認証局(ルート認証局など)から認証を受ける。

よって、信用があるルート証明書も信用がないオレオレ証明書自己署名証明書という括りとなります。

冒頭の結論に追加すると
オレオレ証明書自己署名証明書
大手認証局ルート証明書自己署名証明書
となります。

信頼されたルート認証局は大企業や政府関連組織など社会的信頼のある組織なので、オレオレ証明書ルート証明書は全く別物として語られることが多いですが、私有の秘密鍵で署名している点だけ見れば同じ括りとなります。

以上、SSL通信に関する用語の整理でした。