SSLの認証局について解説しています。
証明書発行機関
このようにSSLでは公開鍵暗号と共通鍵暗号を用いて安全な通信を実現させていますが、まだ問題があります。そもそも通信相手は誰なのかということです。顔の見えないインターネットでは、最初からなりすまされていられると、公開鍵も共通鍵も無意味です。そこで第三者によって、あなたの通信相手は間違いなく○○であり、公開鍵も間違いありませんという電子証明書が発行されています。この電子証明書の発行をしているのが証明書発行機関です。
何を信じているのか
しかしまだ問題はあります。その証明書を発行した認証局は信頼できるのでしょうか。実は電子証明書を発行するだけならば簡単にできます。電子証明書の発行は、政府や民間業者が発行しています。つまり信頼できる認証局が発行した電子証明書だから、その発行先も信頼できるだろうという考えに基づいています。では信頼できる認証局とは何でしょうか。それを個人が調べる事は難しいため、WebTrustという審査基準に適応した認証局が、あらかじめブラウザに組み込まれています。つまり利用者はWebTrustの審査基準を信頼しているということになります。
オレオレ証明書
以上がSSLの認証の仕組みだったわけですが、運用上いろいろ問題が出てきました。一つはオレオレ証明書と言われるものです。つまり自分自身で電子証明書を発行し、私は私ですと証明しているサイトです。これには意味がないことが分かりますが、一般の利用者にはそこまでのことが分からないため、まかり通っているのが現状です。また第三者によって発行されるにしても、その審査基準はまちまちで、信頼度にばらつきがあるという問題が出ています。