| CTとは | CTのしくみ | CTの実現 | CTの現状 |
CT(Certificate Transparency:証明書の透明性)はインターネット上のセキュリティ強化と信用度向上の重要な要素です。
CTは、認証局(CA)の既存のインフラ上で機能させることができ、発行後に、SSL証明書の認証内容を検証できます。
証明書は以下のようなプロセスで発行されます。
CT(Certificate Transparency:証明書の透明性)入りの証明書を発行するために新たに追加された処理は、青色ハイライト(3,4,5,6の項目)で表示してあります。
TLSハンドシェークでのSCT(登録済み証明書タイムスタンプ)の確認方法は3種類あります。詳しくは CT(Certificate Transparency:証明書の透明性)の実現を参照してください。
CT(Certificate Transparency:証明書の透明性)には、【認証局(CA)】、【証明書ログ】、【証明書モニター】、【証明書監査役】の4つの構成要素が存在します。
以下は、これらの構成要素の構成図です。 各構成要素については、この後詳細に説明します。
CT(Certificate Transparency:証明書の透明性)は、公的に信任された認証局(CA)の既存のシステムでの運営が可能です。
認証局は、公開されるログに証明書の検証データを証拠としてを登録します。ブラウザ側では、TLSハンドシェークでログを閲覧し、SCT(登録済み証明書タイムスタンプ)を検証できます。
ログは、認証局が正しく機能している証拠になります。これは認証局の運用に対し、外部からの監査が可能になることを意味します。
ログには発行されるすべてのSSLサーバ証明書が記録されることが理想ですが、現在の段階では、EVサーバ証明書への記録に限定されています。
ログは以下のような理由から、複数の独立したものが必要とされます。
たとえば有名なブランドの所有者や認証局(CA)のような、疑わしい行為の検証のためにログを監視するすべての人が証明書モニターです。
モニターは、HTTP GET命令で、ログから情報を入手できます。
証明書の利用者は、自らログをモニタリングするサービスを立ち上げることも、外部に委託することもできます。DigiCertでは、お客様向けにログモニタリングのサービスを行う予定があります。
証明書監査とは、ログが他のログサーバーのデータと一致しているかどうかや、新しいデータの追加更新を確認するために、ログを検証することをさします。
また、誰かの手で過去に遡ってデータを挿入されたり、削除・修正するなどの改ざん行為があったかどうかの検証も行います。
この監査行為は、今後ブラウザ側に組み込まれて、自動的に処理されるようになるでしょう。
しかし、それとは別に監査が独立したサービスとして行われるようになるかもしれません。
また、証明書モニターに含まれる役割となるかもしれません。
・SSLサーバー証明書
・コードサイニング
その他証明書
・バウチャ(クーポン)
