セキュリティ

中間証明書とは?SSL中間CA証明書の必要性やエラー・確認方法を紹介

SSLの暗号化通信はセキュリティ向上のために3段階の認証が一般的ですが、「中間証明書」の必要性や役割がわからないという方は多いのではないでしょうか。中間証明書はルート証明書とSSLサーバー証明書の間に入って、SSL化における信頼性とセキュリティをより高いものにしています。

今回は、中間証明書について必要性や他の証明書・認証局との違い、エラー表示や設定の確認方法を紹介します。

SSL中間CA証明書

目次

SSL証明書とは?

中間証明書を説明する前に、SSLに必要なSSL証明書の3段階認証について紹介します。

SSL証明書とは

そもそもSSL証明書とは、SSL(Secure Sockets Layer)の暗号化通信に必要な3種類の電子証明書のことです。SSLは、主に3種類のSSL証明書を3段階の階層に分けて検証することで、暗号化通信のセキュリティを強化しています。SSLの仕組みでは、少なくともブラウザにあらかじめインストールされている「ルート証明書」とサーバー側にインストールする「SSLサーバー証明書」の2種類が必要です。

最近では、この2種類の証明書に「中間証明書」を加えて、3種類の証明書を使用することが一般的になっています。このように2種類から3種類の証明書、つまり3段階の認証を行うことで、より高いセキュリティを担保することができるのです。

SSL証明書の種類

先ほど少し説明しましたが、SSL証明書には、「SSLサーバー証明書」、「ルート証明書」、「中間証明書」の3つの種類があります。それでは、それぞれの証明書を細かく見ていきましょう。

SSLサーバー証明書と中間証明書

SSLサーバー証明書とは

SSLサーバー証明書とは、Webサイト運営者の実在を証明し、インターネットの暗号化通信を行う電子証明書です。SSLサーバー証明書は、Webサイトを運営する個人や組織の実在を証明する手続きの厳格さによって「ドメイン認証」、「OV認証」、「EV認証」の3つの種類に分けられます。

SSLサーバー証明書には、ブラウザとサーバー間などの通信内容を暗号化するための鍵が含まれています。Webサイトの運営者がSSLサーバー証明書を取得するためには、認証局によるドメインや(OV認証・EV認証であれば)企業の実在性の監査を受ける必要があります。

認証局とは?

認証局(CA:Certification Authority)とは、デジタル証明書を発行する機関で、電子証明書の登録、発行、失効を行う第三者認証機関を指します。

今回の記事では、SSLサーバー証明書やルート証明書を発行できるルート認証局、中間証明書を発行できる中間認証局が登場します。

ルート認証局とは、デジタル証明書の認証局の種類の一つで、上位の認証局による認証を受けず、自身の正当性を自ら証明する認証局です。ルート認証局は信頼度によって、世界的な認証局監査の厳格な規準を満たしたルート認証局であるパブリック認証局と、企業が独自の運用規準で認証するプライベート認証局に分けられます。日本におけるパブリック認証局の代表的な例ではグローバルサインサイバートラストジオトラストなどが挙げられます。

中間認証局とは、ルート認証局から身元を保証されることで、代わりにSSLサーバー証明書に署名することのできる認証局です。中間認証局はルート認証局とは違い、自分自身で認証局の信頼性を証明することができません。そのため、ルート認証局が中間認証局が発行する中間証明書に署名することで、認証局の真正性を保証しています。

ルート証明書とは

ルート証明書とは、SSLサーバー証明書を発行するルート認証局が、自身で認証局の信頼性を証明した証明書のことです。ルート証明書を発行するルート認証局は、各ブラウザベンダーの厳しい監査を受けた上で自身の信頼性を証明しています。ブラウザがSSLサーバー証明書の真正性を確認できるのは、各ブラウザが「信頼できるルート認証局の発行するルート証明書」と「SSLのルート証明書」を検証して認証局の信頼性を判断しているからです。

信頼性を判断する仕組み

SSLは階層構造をとっていて、まずSSLサーバー証明書が読み込まれます。ブラウザ側は、あらかじめインストールされているルート証明書でSSLのルート証明書の署名を複合します。ルート証明書の情報がブラウザの信頼できるルート認証局の情報と一致すれば、SSLサーバー証明書を発行した認証局の真正性が検証できる仕組みです。このように、ルート証明書の役割はSSL証明書の信頼性を保証することです。

中間(CA)証明書とは

中間証明書(SSL中間CA証明書)とはSSL証明書のうちの1つで、中間認証局によって発行されます。中間証明書は、SSLサーバー証明書を発行するルート認証局の署名を照合する際に使用されます。先ほども説明しましたが、中間認証局は自分自身で信頼性を証明することができないため、ルート認証局が中間証明書に署名することで、認証局の真正性を保証しています。

中間証明書の特徴

中間証明書は、証明書の種類やバージョンなどによって設定の不備があった際に「このWebサイトで提示されたセキュリティ証明書は、信頼された証明機関から発行されたものではありません」といった警告が出ることがあります。

またルート認証局が信頼できない認証局であったり、下位の認証局が発行する証明書を使用している場合に、中間証明書が正常にインストールされていないと警告がでます。警告の表示は顧客からの信頼を下げてしまうので、警告が出ないように証明書の状態を万全にする必要があります。

【コラム】Webサイトから中間認証局を確認する方法中間認証局は、SSLサーバー証明書の発行者名で確認できます。Google Chromeでは、アドレスバーの左にある南京錠マークから証明書をクリックすると、階層構造になっている各種証明書が表示されます。最下層にある証明書がSSLサーバー証明書で、発行社名は中間認証局の通称になっています。真ん中の階層にある中間証明書の発行社名にはルート認証局の通称が記載されており、上位の認証局が下位の証明書を発行していることがわかります。

中間証明書とルート証明書の違い

中間証明書とルート証明書の違いは、証明書を発行している認証局が自身の信頼性を証明できるかどうかです。中間証明書を発行する中間認証局はブラウザから信頼できる認証局として認められている必要はありませんが、ルート認証局は認められていないと「このWebサイトで提示されたセキュリティ証明書は、信頼された証明機関から発行されたものではありません。」という警告が出てしまいます。

中間証明書の必要性

では、中間証明書はなぜ必要なのでしょうか。今回は中間証明書をインストールする必要性を2つ紹介します。

セキュリティを強化できる

中間証明書はルート証明書への攻撃を防ぐことができるので、中間証明書の発行はセキュリティを高めます。先ほど、ルート証明書はSSLサーバー証明書の真正性の検証に使用されると説明しましたが、ルート証明書をオンラインで使用することは情報が漏洩する可能性があるので危険です。そこで中間証明書がルート証明書とSSLサーバー証明書の仲介としてオンラインで認証局の検証を行うことで、セキュリティを高めています。

トラブル時の被害を抑えられる

中間証明書を発行していれば、トラブルが起きた際の被害を最小限に抑えることができます。中間証明書を発行せずに2段階構造にしていると、ルート証明書を失効した際に証明書全体が無効になってしまいます。しかし、中間証明書で3階層以上の構造にしておけば、証明書の脆弱性をつかれて情報が漏洩した場合もルート証明書まで失効することはありません。情報漏洩への対応で証明書全体を無効にしないためにも、中間証明書を発行する必要があります。

SSLに不備がある場合のエラー表示

SSLサーバー証明書が正しく設定されていないとブラウザ上に赤色で警告が表示されます。また、正しく設定されていたとしても、Webサイトの中に非SSLのコンテンツ(画像やCSSファイル、JavaScriptファイルなど)が混在していると以下のような警告が表示されます。

middle-ca_850x478

せっかくSSL化対応をしていても、このようなエラー表示が発生すればSSLの効果が半減するばかりか、ユーザーの不安を煽ってしまいます。例えばECサイトで上の画像のような警告が表示されてしまったら、ユーザーはWebサイトを不審に思い、購買意欲をなくしてしまうかもしれません。SSLを使う際には、各種証明書やWebサイト内のコンテンツが正しく設定され、エラーや警告が表示されていないかどうかの確認が必要です。

【コラム】GoogleChromeの「保護されていない通信」の仕様変更近年、Googleの検索エンジンがSSLに対応していないWebサイトを低く評価するようになっています。また、同じくGoogleのブラウザであるChromeでは、SSL化対応をしていない「http」通信のWebサイトであるというだけで「保護されていない通信」という警告を表示する仕様に変更されており(※2020年5月現在)、SSL化の流れをGoogleが先導している面も見受けられます。

中間証明書の不備補完機能

SSLサーバー証明書は不備があれば必ずエラーが発生するのに対し、中間証明書は不備があってもエラーが表示されないことがあります。

SSLサーバー証明書も中間証明書もWebサイト運営者がWebサーバー側に設定する必要がある証明書ですが、中間証明書は正しく設定されなかったとしてもPCブラウザ側が設定の不備を補完することができるのです。そのため、エラーが発生しないケースがあり、設定の不備を見落としやすいという特徴があります。

中間証明書の不備補完の例外

中間証明書の不備補完は各種ブラウザが自動で行っている機能ですが、この不備補完機能には例外があります。

中間証明書の不備補完の例外①古いブラウザ

PCブラウザのバージョンによっては、中間証明書の不備補完機能がありません。そのため、もしユーザーが古いブラウザでWebサイトを見ていた場合には、中間証明書のエラーが表示されてしまいます。

中間証明書の不備補完の例外②アプリ内ブラウザ

アプリ内ブラウザとは、LINEやFacebookなどのSNSアプリを使用したまま、ブラウザに移動することなくWebサイトを見られる便利なブラウザです。スマホのアプリ内で動作するアプリ内ブラウザは、PC版と比べると機能が低く、中間証明書を自動でダウンロードすることができません。そのため、中間証明書が正しく設定されていないとエラーが発生しやすい傾向にあります。

中間証明書の設定確認方法

中間証明書の設定不備をチェックするためには、SSLのチェックツールを使用する方法があります。各認証局(CA)自身が提供するチェックツールの他にも、第三者が公開しているチェックツールはもあります。いずれもWebサイト上で簡単にチェックが可能です。

今回は第三者が公開しているチェックツールである、「SSL Server Test」を用いた中間証明書の設定確認方法を紹介します。

SSL Server Test

Qualysというセキュリティ企業が公開している「Qualys SSL Labs」のSSL Server Testは、無料でSSL証明書の設定不備をチェックできるツールです。SSL Server Testでは、チェックしたいWebサイトのURLを入力するだけでSSLに関する様々な設定の状態を確認することができます。

SSL-Server-Test_700x556Qualys SSL Labs

SSL Server Testの見方

「SSL Server Test」は、ページ中央のHostname:の欄に証明書の設定状況を確認したいWebサイトのURLを挿入し、SubmitをクリックするだけでSSLレポートを確認することが可能です。

ページ下部にある「最近チェックされたWebサイト」に結果を掲載したくない場合は、Hostname:の下の「Do not show the results on the boards」にチェックを入れてURLを送信してください。

ssl-4_850x324

SSLレポートには、Summary(総合評価)と総合評価の詳細項目が表示されます。総合評価は以下の4項目の総合得点をA+からFまでの7段階のランクに分けて評価しています。

  • 「Certificate(証明書)」
  • 「Protocol Support(サポートされているプロトコル)」
  • 「Key Exchange(各種鍵の交換)」
  • 「Cipher Strength(暗号強度)」

SSL-2_850x666

評価の詳細を見ると、1番上に「Certificate #1: RSA 2048 bits」という表題があります。「Server Key and Certificate(秘密鍵と証明書)」の次の項目である「additional Certificate (if supplied)(中間証明書)」が、中間証明書の設定状況についてのレポートです。

中間証明書の不備の見方

中間証明書の不備を確認するためには、ページ内検索(Ctrl + F, Command + F)でChain issuesと入力しましょう。「Chain issues」の項目が「Incomplete」であると中間証明書に設定不備がある可能性が高いです。「None」の場合は、中間証明書には問題がないことがわかります。

ssl-3_850x280

中間証明書の不備確認の他にも、様々な項目の設定状況や証明書自体のセキュリティレベルがチェックできます。このようなSSLレポート作成ツールを有効に活用して、自社のWebサイトのセキュリティ向上に役立てましょう。

まとめ

今回は中間証明書の必要性やルート認証局との関係、不備補完機能や設定の確認方法を紹介しました。中間証明書の設定は、日々巧妙化しているサイバー犯罪対策にもなります。エラー表示だけを頼りにせず、中間証明書が正しく設定できているかどうかを確認してみてください。

この記事の著者

itra
ITRA株式会社

官公庁や大手企業を中心とした大規模なWebサイトを総合的にプロデュースするWeb制作会社。デザインからシステム、サーバーまでWebサイトに関わるお客様の悩みを解決します。