ルート証明書

ルート証明書（ルートしょうめいしょ、英: Root certificate）とは、公開鍵基盤を構成する一要素で、発行者と主体者が同じであり、かつ自分自身の秘密鍵^[1]で、それに対応する自らの公開鍵に署名した公開鍵証明書のことで、木構造をなす証明書のルートとなるものである。ルート証明書は自己署名証明書のように作成されるものの、厳しい審査を経て認められた組織のみがルート認証局になれるという人手を介した方法で信頼性を担保している^[2]。

概要

自己署名証明書や自己発行証明書の一種である。自己署名証明書とは、自分の秘密鍵でそれに対応する公開鍵に署名した証明書のことである。自分の秘密鍵で署名していても、認証局が識別名を変更したときに発行することがあるネーム・ロールオーバー証明書のような識別名が異なる証明書は、ルート証明書ではない。自己発行証明書とは、発行者と主体者が同じ実体である公開鍵証明書のことである。自分自身に発行しても、他の秘密鍵で署名された自己発行証明書（認証局が鍵を更新したときに発行するキー・ロールオーバー証明書や、CRLの署名用に別の鍵対を使うときなどに発行する証明書）は、ルート証明書ではない。

認証局は証明書を木構造を成す形で発行するが、その中でルート証明書は、発行された証明書の中で木の根元に位置する。すべての証明書は、自らの親となるルート証明書の持つ信頼性を継承する。

多くのソフトウェアでは、証明書利用者を代表してルート証明書を信頼するという前提を置いている。 その一例として、ウェブブラウザではSSLやTLSによる通信においてルート証明書をアイデンティティの検証に用いている。 ここではユーザがウェブブラウザの配布者とそれが信頼する認証局、その認証局が発行した証明書を持つ証明書利用者を信頼するという前提の元に証明書利用者のアイデンティティの検証を行っている。

ITU-Tによって定義されたX.509は商用分野において最も普及している証明書の規格であるが、このルート証明書を元にした信頼の推移はX.509証明書の連鎖モデルに不可欠なものである。

脚注

1. ^ 本項でいう秘密鍵とは、署名される公開鍵(en:Public_key)に対応する秘密鍵(en:Private_key、または私有鍵)のことであり、共通鍵暗号の秘密鍵(Secret key)ではない。
2. ^ Sasaki, Makoto (2018年6月14日). “ルート証明書とは”. wa3.i-3-i.info. 「分かりそう」で「分からない」でも「分かった」気になれるIT用語辞典. 2024年3月31日閲覧。

外部リンク

著名な認証局のルート証明書

• Verisignおよびその子会社であるThawte
• Entrust
• 政府認証基盤(GPKI)
• 地方公共団体における組織認証基盤(LGPKI)
• CACert
• cURLのExtract CA Certs from mozilla.orgページ