CT(Certificate Transparency) について
Certificate Transparencyとは
Certificate Transparencyとは、日本語で「透かし入り証明書」「証明書の透明性」などと呼ばれています。
Certificate Transparencyは、不正な証明書を早期に発見・検知するための仕組みとして Google 社により考案され、2013 年に「RFC 6962」として規格化されました。 Certificate Transparencyは認証局が証明書を発行する都度、全ての証明書発行の証跡を、第三者の監査ログに記載する仕組みです。
それにより利用者が不正に発行された証明書を信頼することを防止します。 Certificate Transparencyはあくまで証明書の信頼性を高めるための追加の仕組みであり、これまでの証明書の検証の仕組みが無くなるわけではありません。
Certificate Transparencyのしくみ
SSLサーバ証明書は第3認証機関(認証局)が審査を行い発行しています。
Certificate Transparency(以下、CT)は証明書発行の証跡を監査ログサーバへ登録する事で完了します。
CTの確認機能が有効なインターネットブラウザ(以下、ブラウザ)で暗号化されたサイトにアクセスすると、ブラウザは証明書の詳細を取得し、監査ログサーバへこの証明書の証跡の問合せを行い、証明書の証跡が確認できない場合は何かしらの警告を表示します。
また、この証跡は誰でも確認する事ができます。
証跡の確認方法
手順
FujiSSLサーバ証明書を例に、証明書の証跡を、Googleの透明性レポートで確認する方法をご説明します。
1.Google透明性レポート
2.証明書をホスト名で検索するの項目より、確認するFQDN名(ここでは、www.fujissl.jp)を入力し、検索を押下して証跡が確認する事ができます。
結果
発行元の認証局の項目にはSSLサーバ証明書を発行した機関の情報が表示されます。
「O」の項目が認証局となる組織名、「CN」には、発行した証明書になり、「Nijimo, Inc.」が、「FujiSSL Public Certification Authority – G1」の証明書を発行した事が確認できます。
証明書の項目には、発行した証明書の概要が確認でき「詳細を表示」より、証明書の詳細情報を確認する事ができます。