認証局

CA (Certificate Authority / Certifying Authority / Certification Authority)

　CAは技術的には大したことはしていません。単に申請された公開鍵に電子署名し、電子証明書を発行しているだけです。業務的には、CAは署名をする際に「その申請された公開鍵が確かに申請者のものか」という確認を行い、CAの秘密鍵を非常に厳重に管理します。このことにより、このCAを信頼する利用者から「このCAが電子署名した証明書なら信頼できるから、この電子証明書にある誰々の公開鍵は本物だろう」と信じることができるわけです。

　さて、ここで問題が発生します。CAの署名を検証するための公開鍵はいったいどうやって信用すれば良いのでしょう? 実は、こればっかりは最初から持っているしかないのです。例えば、MicrosoftのInternet ExplorerやNetscapeのNetscape Communicatorには最初からいくつものCAの公開鍵が登録されています。それでも、すべての通信相手の鍵を最初から持っているのに比べると、格段に楽になります。

　通常、CAは発行する電子証明書にレベルをつけて、「どの程度本人確認を行ったか」ということを表します。例えば、日本VeriSignでは以下のようなレベルの証明書を発行しています。

1. エンドユーザ向け/クラス1
   　e-mailアドレスが正しいことだけを証明する、一番簡単な証明書です。これは発行した証明書をe-mailアドレスに発送し、受け取れたことによって認証としています。(例えばパスポート発行時には葉書を送付して確かにその住所に住んでいることを確認しますが、それと同じことです。)
2. 法人・団体向けおよびソフトウェア開発者向け/クラス3
   　登記簿謄本などによりその団体を認証します。SSLで通信するWebサイトはだいたいこの証明書を利用しています。

　米国のVeriSignではクラス2の証明書も発行していますが、日本では安価で有効な個人認証手段がないためか、サービスされていないようです。

　つまり、「電子証明書」は「どこが出した、どういうレベルの電子証明書か」でその信頼性は全く異なる、ということです。