DigiCert証明書の正規代理店株式会社アールエムエス
DigiCert サーバー証明書利用団体
  1. ホーム
  2. サポート
  3. 技術情報
  4. Certificate Transparency (CT)
  5. CTの実現
CTとは CTのしくみ CTの実現 CTの現状

CT(Certificate Transparency:証明書の透明性)の実現

主要な認証局(CA)は、2015年1月1日までに、EV SSLサーバ証明書用として、「CT(Certificate Transparency:証明書の透明性)」のログ登録ができるように準備しなければなりませんでした。
しかし、いくつかの認証局(CA)では、EVサーバ証明書でない一般の証明書についてログ登録しているかもしれないなど、ログ登録に使うメカニズムは認証局(CA)ごとに異なります。
DigiCertでは、発行する全てのSSLサーバ証明書が、CT対応となっています。

SCT(Signed Certificate Timestamp:登録済み証明書タイムスタンプ)の提供方法

認証局(CA)は、自社のルート証明が含まれているログであれば、どのログへも証明書を記録することが可能です。ログは証明書の登録要求受付とSCT(Signed Certificate Timestamp:登録済み証明書タイムスタンプ)情報を返します。

memoSCT(Signed Certificate Timestamp:登録済み証明書タイムスタンプ)

SCTは、証明書がMaximum Merge Delay(MMD)と呼ばれる所定の時間内にログサーバーに登録されることを示す登録予約証のようなものです。
Maximum Merge Delay (MMD) は24時間で、新規に発行された証明書は、SCTが作成されてから24時間以内にログサーバーに登録されるということになります。
この仕組みによって、証明書の発行が遅れたり利用が妨げられたりすることはありません。

SCTは、証明書が存在している限り証明書に含まれ、TLSハンドシェークの一部を構成します。
TLSハンドシェークのプロセスは、CTログを毎回参照し、SCTに誤りがないことを確認します。

SCT付き証明書の提供方法

CTでのSCT付き証明書の提供には「証明書への埋め込み」「TLS拡張機能の利用」「OCSP Staplingの利用」の3種類の方法があります。

DigiCertでは、現時点で3種類すべての方法でSCTの提供が可能です。
デフォルトでは、Google の2つのログサーバーと、DigiCertのログサーバーに登録されているSCTを埋め込んだ証明書を発行します。
この方法で証明書を発行する場合にはサーバー管理者側の作業は発生しません。
TLS拡張機能の利用、またはOCSP staplingを利用したい場合は、お問合せください。

お問合せ:info@rms-digicert.ne.jp
証明書への埋め込み

認証局(CA)が発行する証明書の拡張機能部分に直接SCTを埋め込んで添付する方法です。
この方法では、サーバー管理者側では、サーバーの設定変更や、特別な対応作業も必要としません。 しかし、認証局(CA)の負荷として、証明書を交付する前に、SCT の受信が必要になります。

SCT埋め込みの場合の認証局の証明書交付手順
  1. 正式な証明書の発行前に「pre-certificate(プレ証明書)」と呼ばれるものをログサーバーに登録
  2. pre-certificate(プレ証明書)の登録を受けたログサーバーがSCT(Signed Certificate Timestamp:登録済み証明書タイムスタンプ)をCA(認証局)に返す
  3. 返されたSCTを発行される証明書の拡張機能部分に含める
なお、証明書の拡張機能部分に含まれたSCTは以下のように確認できます。 SCT
TLS拡張機能の利用

サーバー管理者がTLSの特別な拡張機能を利用し、SCTと証明書紐付け、外部に提示することができます。
この方法を使うと、証明書のデータサイズの軽減が可能です。また、認証局(CA)側の作業等が発生しません。

TLS拡張機能の利用手順
  1. 認証局(CA)が証明書を発行した後、サーバー管理者が証明書をログサーバーに提出
  2. ログサーバーがサーバー管理者に SCT(Signed Certificate Timestamp:登録済み証明書タイムスタンプ)を返す
  3. サーバーがTLSの特別な拡張機能を利用してハンドシェーク時にこのSCTを提示
※現行のソフトウェアは、この機能拡張をサポートしていませんので、この方法を利用するためには、サーバー管理者が独自に設定をする必要があります。
OCSP Staplingの利用

OCSP(Online Certificate Status Protocol) プロトコルを利用したOCSP StaplingでSCTを提示することができます。
この場合、認証局(CA)は証明書をログサーバーとサーバー管理者双方に発行します。 この方法の場合、認証局(CA)は発行した証明書をログサーバーに送る必要がありますが、SCTの受信を待たずに証明書の発行が可能になります。
またこの方法の場合、サーバー管理者は、サーバーがOCSP Staplingに対応できるように設定する必要があります。

OCSP Staplingを利用する場合の利用手順
  1. 認証局(CA)は、サーバーからのOCSPリクエストにSCTを含んだ情報を返す
※この拡張機能でSCTを含んだレスポンスデータは、サーバーからクライアントへ、TLSハンドシェークを通じて伝えられます。
SSL サーバ証明書とは?
30日間テスト証明書
30日間返金保証制度あり!
コードサイニング証明書
ドキュメントサイニング証明書
デジタル証明書ニュース
HTTPS入門
digicert.comトピックス&ニュース