「サーバー証明書」簡単解説

サーバー証明書とは

サーバー証明書とは、以下のような形式・内容の「電子的」ファイルです (説明に関連する主な項目のみ)。

「認証局(Certificate Authority)」と呼ばれる機関(企業)が発行します。

例えば、奈良教育大学のWebmailサーバー(webmail.nara-edu.ac.jp)が、本当に奈良教育大学が運用しているサーバーであるということを、誰か(=認証局)に証明してもらうためのものです。

項目内容例えば
発行者この証明書を発行した機関=認証局(CA)ベリサイン社、セコム社、NIIなど
有効期限通常発行して1年 
SUBJECT発行者が証明する内容:組織名、サーバーの名称(ドメイン名)奈良教育大学、
webmail.nara-edu.ac.jp
暗号化のキー情報いわゆる「公開鍵」 
署名発行者の署名 

これを認証局から「買って」=「ファイル」を貰って、サーバー(webmail.nara-edu.ac.jp)の所定の場所にインストールします。
費用は、通常、大学で使える証明書の場合、4万〜8万円/1年間有効、です。もちろんサーバー1台あたりです。
例えばCyberTrustveriSign

認証局(CA)の階層

認証局は階層構造を持っています。
最上位に位置するルート認証局には、以下のような、主に米国(日本法人もあり)の企業が運営しているものがあります。

これらのルート認証局が証明書を発行した「子」認証局があり、「子」認証局が証明書を発行した「孫」認証局・・という階層構造になっています。

NII(国立情報学研究所)も認証局を運用しており、「ルート認証局 SECOM社」の「子」認証局、という位置づけです。

一般的に、階層の下の認証局から発行して貰ったサーバー証明書ほど「安い」。なぜなら、認証局の信頼性が低くなるからです(と思う)。

「認証局を運営する」とは、サーバー証明書を発行すること、および、証明書が正しいものであるか否かの問い合わせに答えることです。

オレオレ証明書

実は、「ルート」→「子」→「孫」というCAの階層に参加せずとも、勝手にサーバー証明書を作ることができます(上の形式のファイルを作ればいいだけです)。

この場合、上の形式で「発行者」と「SUBJECTの組織名」を同じもの、例えば「奈良教育大学」とすることが普通で自然です。

このような、「本人」が「本人」を証明する証明書を「自己証明書」といいます。一般に、このような自己証明書は「信頼できない証明書」として扱われ、通称「オレオレ証明書」といいます。

しかし、このような自己証明書でも、その中に書いてある「暗号化キー情報」を使って、サーバーとブラウザー間の通信は暗号化されるので、意味がないわけではありません。

ブラウザーと認証局との関連(警告メッセージの意味)

ブラウザーにはルート認証局の情報が埋め込まれています。
IE7.0の場合、「インターネットオプション」→「コンテンツ」→「証明書」→「信頼されたルート認証機関」にそれが示されています。

「続行」の何が問題か?

このような、信号経路に介入してデータの改竄を行う、いわゆる"Man-in-the-Middle 攻撃"は、単なる傍受に比べて技術的に困難であるとはいえ、可能性はあるので、対策をおろそかにはできない、とされています。

どのようなときに問題か

業務用のSSLサーバーは、正規に証明書を用意すべき

高木氏曰

・・・サーバ証明書は、最も安いところで年額4万円未満のものもある。ごちゃごちゃと手間をかけたり説明するくらいなら、買った方が安い。そのコスト計算のできないノータリンが大学には多いようだ・・」

対象は?

島田さん:他にありますか?

大学の仕事であること

NIIプロジェクトへの参加の意義を、しかるべき機関で確認して貰う。