電子証明書の信頼性について

まず、実際に電子証明書を利用してやりとりをすることを考えてみましょう。 SSLとかS/MIMEとか、利用方法はいくつもありますが、単純に、お互いが持っている電子証明書が嘘偽りのない物か否か、を考えてみればいいでしょう。 Aさんの電子証明書の信頼性をBさんはどうやって確認すればいいか？ それは、以下のいずれかです。 (1)Bさんが信頼を置く認証局によって発行された電子証明書である (2)Bさんが信頼を置く認証局が信頼性を保証する認証局が発行した電子証明書である つまり、Bさんが(1)(2)に該当しない電子証明書は、Bさんにとっては偽物と同じなわけです。 (1)(2)であるか否かは、その電子証明書を発行した期間の公開鍵等の情報を見れば自ずと明らかになります。 また、その電子証明書が本物かどうか、取り消されていないかどうかは、認証局に問い合わせてみればすぐにわかります。 例で言うと、IEのインターネットオプションで、「コンテンツ」タブの証明書のところとか、「詳細設定」タブの「サーバー証明書の取り消しを確認する」なんてのがそれですかね。 ただ、これはどっちかというとサーバ証明書であって、個人を認証するような電子証明書ではないですが。 で、つまりは、誰かが「ベリサインっぽい」認証局（ブランド物の偽物みたいですが・・・）になりすまし、Aさんに電子証明書を発行したとしても、Bさんがその認証局を信頼してなければ、なりすましても無意味ということになります。 この場合は、Aさんの利用してる認証局は信頼できん、だから電子証明書もあてにならん、といったところですね。 ま、実際のところは、あまり個人での使い道というのはないんですよね。 取引などの際に、今まではサインとか印鑑とかでやってたものを、電子商取引となるとそうもいかないので、電子証明書を利用する。 で、そのような取引も法的には、通常の取引と変わらないと認められた訳で、個人ではあまり利用価値というのは今のところない。 電子署名及び認証業務に関する法律 http://www.soumu.go.jp/joho_tsusin/top/ninshou-law/law-index.html 電子署名法関連 http://www.meti.go.jp/policy/netsecurity/digitalsign.htm ちなみに、自分で認証局を作って、電子証明書を発行するのは簡単ですよ。 ApacheでSSL通信やろうと思ったら、opensslを使って、自分でサーバー証明書作ったりとかできますしね。 ただ、それは、サーバとクライアント間で暗号化通信（SSL）を行う際の公開鍵暗号方式の利用に使われるんであって、電子証明書自体の真偽については関係が薄れてしまうわけですが。。。 本当は、ちゃんとした認証局の作ったサーバ証明書を用いた方が良いわけです。このサイトは、信頼できるサイトだよ、と。 以上、簡単に(?)説明してみました。 私も随分前に某所で関わってたくらいで、ほとんど忘れましたので間違いがあるかもしれません。 （というか忘れたことにしたいのが本音なので一般人にしてみた(苦笑)） なんか、とりとめもなくなってしまいましたが、実際本一冊書けるくらいの内容なので、実際のところは書籍等購入して調べていただければと思います。 電子証明書の他にも、「PKI」「電子認証」「認証局」なんかをキーワードにGoogle等で検索すれば一杯出て来ますよ。 ↓参考になりそうなところ。 5分で絶対に分かるPKI http://www.atmarkit.co.jp/fsecurity/special/02fivemin/fivemin00.html ＠IT：PKI再入門 - 第1回 個人認証とは？ http://www.atmarkit.co.jp/fsecurity/rensai/re_pki01/re_pki01.html ＠IT：連載 PKI基礎講座　全9回 http://www.atmarkit.co.jp/fnetwork/index_index.html#pki SSLでセキュアなECサイト構築 http://www.atmarkit.co.jp/fsecurity/special/01ssl/ssl01.html PKI/IT用語辞典/キーマンズネット http://www.keyman.or.jp/search/30000341_1.html 証明書と証明機関 http://www.microsoft.com/windows2000/ja/server/help/sag_CMCertsCAs.htm