目次
ルート証明書とは
認証局(CA: Certificate Authority)が発行する 一番上位の証明書です。
OSやブラウザにあらかじめインストールされています。
(例: DigiCert, GlobalSign, Let’s Encrypt のルート証明書など)
使用される流れ
1.PC(クライアント)のブラウザからサーバのWebサイトにアクセスします。
2.サーバからクライアントに、SSLサーバ証明書が送信されます。
SSLサーバ証明書に、「Webサイトの証明書」と「中間認証局の証明書」が含まれています。
3.OSやブラウザにルート証明書と、ルート証明書と中間認証局の証明書のつながり(証明書チェーン)があります。
受け取った中間認証局の証明書から、証明書チェーンの検証で、自分の信頼ストアにあるルート証明書まで到達するか検証します。
3.問題なければ暗号化通信が確立され、HTTPS通信が開始されます。
4.信頼できない証明書や期限切れ証明書の場合、ブラウザが「警告画面」を表示します(「この接続は安全ではありません」など)。
※サーバ側で中間認証局の証明書を送らないと、ブラウザは「この証明書のチェーンを完成できない」となり「信頼できない証明書」とエラーが出ます。
例えば Let’s Encrypt の場合
ルート証明書(Root CA): ISRG Root X1
↓ 署名
中間証明書(Intermediate CA): R3
↓ 署名
サーバ証明書: www.example.com
このチェーンが揃って初めてブラウザは「このサイトは本物」と判断します。
OSのルート証明書の場所
Windows → 「信頼されたルート証明機関」ストアに保存
macOS / iOS → Keychain / 証明書ストア
Linux → /etc/ssl/certs など
Chromeでルート証明書を確認する
1.Chromeブラウザの右上のアイコンをクリックし設定をクリックします。
2.プライバシーとセキュリティをクリックします。
3.セキュリティをクリックします。
4.デバイス証明書の管理をクリックします。
5.「信頼されたルート証明機関」のタブをクリックすると、
ルート証明書が表示されます。
ルート署名書を選択し、「表示」をクリックするとルート証明書の詳細が表示されます。
赤枠のISRG Root X1は、無料のSSLサーバ証明書のLet's Encryptで使用されています。
インポートボタンもあり、取り込みも可能です。
6.ルート証明書の詳細です。
詳細タブをクリックするとバージョン、シリアル番号、署名アルゴリズム等を確認できます。
7.中間証明機関のタブをクリックした状態です。
赤枠のR3は、無料のSSLサーバ証明書のLet's Encryptで使用されています。
DST Root CA X3のR3もありますが、有効期限が2021/09/30で期限切れになっています。
関連の記事