(O+P)ut

アウトプット



(O+P)ut

エンジニアのアウトプット

【SSL通信】自己署名証明書とオレオレ証明書の違い

スポンサーリンク

はじめに

表題の件ですが、結論から書くと
オレオレ証明書 ∈ 自己署名証明書
という関係で、オレオレ証明書は自己署名証明書の一つです。

以下、解説。

自己署名証明書とは?

まずは用語を整理すると自己署名証明書とは「公開鍵を私有鍵で署名した公開鍵証明書」を指します。
また、公開鍵証明書とは公開鍵とその所有者を特定するための情報を結びつける証明書です。

一般的に、あるサーバの公開鍵の署名は一般的には外部の認証局の秘密鍵が行います。
そして、外部の認証局の秘密鍵は私有ではないのでこのパターンは自己署名証明書には当たりません。

ちなみに外部の認証局の秘密鍵でわざわざ署名をしてもらう理由は以下。

オレオレ証明書とは?

ここで本題ですが、信用ある認証局に署名してもらうにはコストが発生するので信用のない自らが用意した認証局の秘密鍵で署名しようとするのがオレオレ証明書です。

この場合、署名する公開鍵の持ち主と認証局の秘密鍵の持ち主が同一であるため自己署名証明書に当たります。
この証明書を利用する上ためには、クライアント側に事前に自前で用意した認証局のルート証明書(≒認証局の公開鍵)をインストールしておく必要があります。一方で大手認証局のルート証明書は、パソコンやスマートフォンに初期設定としてインストールされています。

ただし、大手認証局のルート証明書も自己署名証明という意味では自己署名証明をしています。
なぜなら、ルート認証局は最上位の認証局であるため、自らの公開鍵の署名を自らの秘密鍵で行うしかないから。

以下は関連用語です。

ルート認証局 自分の正当性を自分自身で証明できる。
他の認証局に証明書を発行できる最上位の認証局
中間認証局 自分の正当性を自分自身で証明できず、上位認証局(ルート認証局など)から認証を受ける。

よって信用があるルート証明書も信用がないオレオレ証明書も自己署名証明書という括りとなります。

終わりに

冒頭の結論の通りで、信頼されたルート認証局の証明書も自分で署名しているという観点では自己署名証明書になります。
ただし、オレオレ証明書との違いはその公開鍵が世の中から信頼されているため自己署名をしても問題がないという点。

ルート認証局の証明書とオレオレ証明書は全く別物として語られることが多いですが、私有の秘密鍵で署名している点だけ見れば同じ括りと観点はこの手の学習には肝なので記載してみました。


他の記事を読む