目次
ルート証明書とは
認証局(CA: Certificate Authority)が発行する 一番上位の証明書です。
OSやブラウザにあらかじめインストールされています。
(例: DigiCert, GlobalSign, Let’s Encrypt のルート証明書など)
使用される流れ
1.PC(クライアント)のブラウザからサーバのWebサイトにアクセスします。
2.サーバからクライアントに、SSLサーバ証明書が送信されます。
SSLサーバ証明書に、Webサイトの証明書と中間認証局の証明書が含まれています。
3.OSやブラウザにルート証明書と、ルート証明書と中間認証局の証明書のつながり(証明書チェーン)があります。
受け取った中間認証局の証明書から、証明書チェーンの検証で、自分の信頼ストアにあるルート証明書まで到達するか検証します。
4.問題なければ暗号化通信が確立され、HTTPS通信が開始されます。
5.信頼できない証明書や期限切れ証明書の場合、ブラウザが警告画面を表示します(この接続は安全ではありませんなど)。
※サーバ側で中間認証局の証明書を送らないと、ブラウザはこの証明書のチェーンを完成できないとなり信頼できない証明書とエラーが出ます。
Let’s Encrypt の場合
ルート証明書(Root CA): ISRG Root X1
↓ 署名
中間証明書(Intermediate CA): R3
↓ 署名
サーバ証明書: www.example.com
このチェーンが揃って初めてブラウザはこのサイトは本物と判断します。
OSのルート証明書の場所
Windows → 信頼されたルート証明機関ストアに保存
macOS / iOS → Keychain / 証明書ストア
Linux → /etc/ssl/certs など
Chromeでルート証明書を確認する
1.Chromeブラウザの右上のアイコンをクリックし設定をクリックします。
2.プライバシーとセキュリティをクリックします。
3.セキュリティをクリックします。
4.デバイス証明書の管理をクリックします。
5.信頼されたルート証明機関のタブをクリックすると、
ルート証明書が表示されます。
ルート署名書を選択し、表示をクリックするとルート証明書の詳細が表示されます。
赤枠のISRG Root X1は、無料のSSLサーバ証明書のLet's Encryptで使用されています。
インポートボタンもあり、取り込みも可能です。
6.ルート証明書の詳細です。
詳細タブをクリックするとバージョン、シリアル番号、署名アルゴリズム等を確認できます。
7.中間証明機関のタブをクリックした状態です。
赤枠のR3は、無料のSSLサーバ証明書のLet's Encryptで使用されています。
DST Root CA X3のR3もありますが、有効期限が2021/09/30で期限切れになっています。
関連の記事