DigiCert証明書の正規代理店株式会社アールエムエス
DigiCert サーバー証明書利用団体
  1. ホーム
  2. サポート
  3. 技術情報
  4. Certificate Transparency (CT)
  5. CTのしくみ
CTとは CTのしくみ CTの実現 CTの現状

CT(Certificate Transparency:証明書の透明性)のしくみ

CT(Certificate Transparency:証明書の透明性)はインターネット上のセキュリティ強化と信用度向上の重要な要素です。
CTは、認証局(CA)の既存のインフラ上で機能させることができ、発行後に、SSL証明書の認証内容を検証できます。

証明書発行のプロセス

証明書は以下のようなプロセスで発行されます。
CT(Certificate Transparency:証明書の透明性)入りの証明書を発行するために新たに追加された処理は、青色ハイライト(3,4,5,6の項目)で表示してあります。

  1. サーバー管理者が、認証局(CA)に証明書の取得申請を行う
  2. 認証局がサーバー管理者の認証を行う
  3. 認証が終ったら、認証局は申請内容に基づき、プレ証明書(pre-certificate)を作成する
  4. 認証局がプレ証明書をログサーバーに登録する
  5. プレ証明書の登録を受けたログサーバーが登録済み証明書タイムスタンプ(SCT:Signed Certificate Timestamp)を CA(認証局)に返す
  6. 認証局(CA)がSCT(登録済み証明書タイムスタンプ)付きの証明書を発行する

TLSハンドシェークでのSCT(登録済み証明書タイムスタンプ)の確認方法は3種類あります。詳しくは CT(Certificate Transparency:証明書の透明性)の実現を参照してください。

CT(Certificate Transparency:証明書の透明性)の構成要素

CT(Certificate Transparency:証明書の透明性)には、【認証局(CA)】、【証明書ログ】、【証明書モニター】、【証明書監査役】の4つの構成要素が存在します。
以下は、これらの構成要素の構成図です。 各構成要素については、この後詳細に説明します。

認証局(CA)

CT(Certificate Transparency:証明書の透明性)は、公的に信任された認証局(CA)の既存のシステムでの運営が可能です。
認証局は、公開されるログに証明書の検証データを証拠としてを登録します。ブラウザ側では、TLSハンドシェークでログを閲覧し、SCT(登録済み証明書タイムスタンプ)を検証できます。
ログは、認証局が正しく機能している証拠になります。これは認証局の運用に対し、外部からの監査が可能になることを意味します。

証明書ログ

ログには発行されるすべてのSSLサーバ証明書が記録されることが理想ですが、現在の段階では、EVサーバ証明書への記録に限定されています。
ログは以下のような理由から、複数の独立したものが必要とされます。

  • 複数のログが稼動していれば、1つのログが稼動できなくても、他のログでのバックアップが可能となる
  • 複数のログが独立していれば、1つのログまたは、ログ・オペレーターが間違いを犯しても、別のログでの検証が可能である
  • 個別にログが独立していれば、1つの行政措置では、すべてのログから発行の証拠を消し去ることは不可能である
  • 複数の独立したログが稼動していれば、認証局(CA)とログ・オペレーターが共謀して、誤発行を隠蔽することが不可能である
すべてのログには、以下の決まりがあります。
  • データ追加のみ許可----ログには証明書データの追加のみが許可され、データの削除・修正、並びに過去に遡ってのデータ挿入は許可されない
  • データ暗号化で安全性確保----ログデータは、ハッシュ技法による暗号方式により暗号化され、改ざんを防止
  • 公開監査が可能----誰でもログの確認が可能で、誤発行された証明書や不正な証明書の発見も可能。全てのログはパブリックに公開されていて、URLとパブリック・キーの公開が義務化されている

証明書モニター

たとえば有名なブランドの所有者や認証局(CA)のような、疑わしい行為の検証のためにログを監視するすべての人が証明書モニターです。
モニターは、HTTP GET命令で、ログから情報を入手できます。
証明書の利用者は、自らログをモニタリングするサービスを立ち上げることも、外部に委託することもできます。DigiCertでは、お客様向けにログモニタリングのサービスを行う予定があります。

証明書監査

証明書監査とは、ログが他のログサーバーのデータと一致しているかどうかや、新しいデータの追加更新を確認するために、ログを検証することをさします。
また、誰かの手で過去に遡ってデータを挿入されたり、削除・修正するなどの改ざん行為があったかどうかの検証も行います。
この監査行為は、今後ブラウザ側に組み込まれて、自動的に処理されるようになるでしょう。
しかし、それとは別に監査が独立したサービスとして行われるようになるかもしれません。
また、証明書モニターに含まれる役割となるかもしれません。

SSL サーバ証明書とは?
30日間テスト証明書
30日間返金保証制度あり!
コードサイニング証明書
ドキュメントサイニング証明書
デジタル証明書ニュース
HTTPS入門
digicert.comトピックス&ニュース