電子証明書を発行している会社(認証局)は世界中にたくさんあります。でもその中にはIEやOUTLOOKの「信頼されたルート証明機関」や「中間証明機関」に名前がない会社(SECOMなど)もたくさんあると認識しております。


「信頼されたルート証明機関」や「中間証明機関」にその会社の名前がリストされていないと、
たとえ中間証明機関に認証された認証局から発行された電子証明書でも、WebのSSL通信や、メールの電子署名などに利用された場合は警告が表示されてしまうのでしょうか?

よろしくお願い致します。

回答の条件
  • 1人5回まで
  • 登録:2008/06/09 13:26:20
  • 終了:2008/06/12 11:52:03

ベストアンサー

id:tera-p No.2

tera-p回答回数92ベストアンサー獲得回数212008/06/10 01:45:27

ポイント130pt

ちなみに、この信頼のつながりは、電子証明を提示される毎にオンラインで確認されるものなの

でしょうか? 信頼のつながりを持っているデータベースにはすごい負荷がかからないか気になりました。 

通常,サーバからルートCAまでをつなぐ一連の証明書が「鎖」のように繋がって届くので,失効状態をオンラインチェックしない限り(後述)そのような負荷はかかりません.

証明書の「鎖」は以下のようにして構成されています.

  • あるサーバAに対してセコムが証明書を発行しているとします.この証明書はセコムにより電子署名されています.
  • (回答1の方が書かれているように)セコムに対しては ValiCert が証明書を発行しています.この証明書は ValiCert により電子署名されています.
  • ValiCert がルートCAであることの証明書はブラウザが持っています(ちなみに,この証明書は ValiCert が自分自身に対して電子署名しています).これで,サーバAの証明書から(ルートCAである)ValiCertの証明書までが「鎖」として繋がりました.

ここで,通常,(ブラウザがあらかじめ持っている最後の証明書以外の)「鎖」を構成する一連の証明書は認証の際に相手からごっそりまとめて送られてくるため,わざわざCAに「信頼のつながり」を問い合わせる必要はありません.そのため,「すごい負荷」を心配する必要はありません.


ただし,証明書の失効状態をオンライン確認する場合は負荷集中の懸念が出てきます.

証明書は(たとえば署名鍵が漏洩したなどの理由から)CAにより「失効」されることがあります.証明書だけを見てもその証明書が失効しているかどうかはわからないため,なんらかの方法で「この証明書は失効していないか」という問い合わせをCAに対してする必要がでてきます.

そのための方法として,CAから証明書失効リスト(CRL)をもらう方法や,CAに対してオンラインで失効状態を問い合わせる方法(OCSP)などがありますが,いずれもCAに対して負荷をかけます.

認証のたびに毎回失効確認することは稀(通常,失効確認の結果は一定期間保持される)なため,CAに対する負荷はある程度軽減はされますが,やはり「それなりの負荷」がかかります(ざっと探した範囲では具体的な数値は見つかりませんでしたが).

以上,ご参考になれば.

id:nil55

ご回答ありがとうございます!!

なるほどです… とても丁寧に解説していただたので、すっきり理解出来ました!!!

本当にありがとうございます!!!

2008/06/12 11:51:35

その他の回答(1件)

id:b-wind No.1

b-wind回答回数3344ベストアンサー獲得回数4402008/06/09 13:32:33

ポイント50pt

SECOM Trust Systems の例であれば、その証明書自体が

ValiCert Class 1 Policy Validation Authority

によって証明されている。


ブラウザ等に組み込まれている証明局から連鎖的に証明がなされていれば警告等が

表示されることはないし、電子証明書の仕組みから行っても問題は無い。

id:nil55

ご回答ありがとうございます!!

なるほどです。そんな仕組みだったのですね!!  とても勉強になりました!!!

ちなみに、この信頼のつながりは、電子証明を提示される毎にオンラインで確認されるものなの

でしょうか? 信頼のつながりを持っているデータベースにはすごい負荷がかからないか気になりました。 


引き続きよろしくお願いいたします。

2008/06/09 23:59:53
id:tera-p No.2

tera-p回答回数92ベストアンサー獲得回数212008/06/10 01:45:27ここでベストアンサー

ポイント130pt

ちなみに、この信頼のつながりは、電子証明を提示される毎にオンラインで確認されるものなの

でしょうか? 信頼のつながりを持っているデータベースにはすごい負荷がかからないか気になりました。 

通常,サーバからルートCAまでをつなぐ一連の証明書が「鎖」のように繋がって届くので,失効状態をオンラインチェックしない限り(後述)そのような負荷はかかりません.

証明書の「鎖」は以下のようにして構成されています.

  • あるサーバAに対してセコムが証明書を発行しているとします.この証明書はセコムにより電子署名されています.
  • (回答1の方が書かれているように)セコムに対しては ValiCert が証明書を発行しています.この証明書は ValiCert により電子署名されています.
  • ValiCert がルートCAであることの証明書はブラウザが持っています(ちなみに,この証明書は ValiCert が自分自身に対して電子署名しています).これで,サーバAの証明書から(ルートCAである)ValiCertの証明書までが「鎖」として繋がりました.

ここで,通常,(ブラウザがあらかじめ持っている最後の証明書以外の)「鎖」を構成する一連の証明書は認証の際に相手からごっそりまとめて送られてくるため,わざわざCAに「信頼のつながり」を問い合わせる必要はありません.そのため,「すごい負荷」を心配する必要はありません.


ただし,証明書の失効状態をオンライン確認する場合は負荷集中の懸念が出てきます.

証明書は(たとえば署名鍵が漏洩したなどの理由から)CAにより「失効」されることがあります.証明書だけを見てもその証明書が失効しているかどうかはわからないため,なんらかの方法で「この証明書は失効していないか」という問い合わせをCAに対してする必要がでてきます.

そのための方法として,CAから証明書失効リスト(CRL)をもらう方法や,CAに対してオンラインで失効状態を問い合わせる方法(OCSP)などがありますが,いずれもCAに対して負荷をかけます.

認証のたびに毎回失効確認することは稀(通常,失効確認の結果は一定期間保持される)なため,CAに対する負荷はある程度軽減はされますが,やはり「それなりの負荷」がかかります(ざっと探した範囲では具体的な数値は見つかりませんでしたが).

以上,ご参考になれば.

id:nil55

ご回答ありがとうございます!!

なるほどです… とても丁寧に解説していただたので、すっきり理解出来ました!!!

本当にありがとうございます!!!

2008/06/12 11:51:35

コメントはまだありません

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません