自己署名証明書とは

自己署名証明書とは、自分の秘密鍵に対応した公開鍵へ電子署名したサーバー証明書のこと。

公開鍵と秘密鍵という対となる2つの鍵を使って、データの暗号化と復号を行う公開鍵基盤(PKI)において、暗号化通信を行うサーバーとクライアントとの間では、サーバーが、クライアント側でデータを暗号化するための鍵(公開鍵)を送信する。

しかし、悪意のある第三者が通信の途上に割り込んでこの鍵を入れ替えてしまうと、クライアントが暗号化してサーバーに送信したデータは、第三者に解読されてしまうことになる。

そこで、サーバーは、信頼できる認証局が電子署名した「サーバー証明書」と呼ばれる公開鍵を送信する。これにより、クライアントは、自分が通信しようとするサーバーの公開鍵であることを確認することができる。

サーバー証明書の「ルート証明書」(認証局が自分自身を証明するために作る証明書)は、自分で自分の証明書に電子署名するため、自己署名証明書の一種である。通常、信頼できるルート証明書は、Webブラウザーなどに予め大手の認証局の証明書が組み込まれているため、クライアント側で信頼できる認証局が電子署名したサーバーの正当性を検証することが可能だ。

しかし、本来、自己署名証明書は、自分で自分の身分を表しているようなものであり(公的機関による"お墨付き"を持たないため)、いわば「手製の名刺」と同程度の信頼性しか持たないといえる。自己署名証明書の中には、「オレオレ証明書」と呼ばれるものがあり、これは、信頼性が不明でWebブラウザーが認識していない証明機関が署名したサーバー証明書のことを指す。

Webブラウザーは、オレオレ証明書に対し、上述したような悪意ある第三者が偽造したサーバー証明書と区別がつかないため、「サーバー証明書の信頼性を検証できない」旨の警告を出すことがある。

セキュリティ用語辞典一覧ページへ

関連キーワード:

公開鍵

秘密鍵

自己署名証明書

認証局

電子署名