デジタル証明書の仕組み - ブラウザの鍵マークの正体

ブラウザの鍵マークの正体

Web サイトにアクセスしたとき、アドレスバーに表示される鍵マーク。あれは「このサイトは安全です」という意味ではありません。正確には「このサイトとの通信は暗号化されています」という意味であり、その暗号化を支えているのがデジタル証明書です。

フィッシングサイトでも鍵マークは表示されます。鍵マークが示すのは通信経路の安全性であって、サイトの信頼性ではないのです。この違いを理解するには、デジタル証明書の仕組みを知る必要があります。

デジタル証明書とは何か

デジタル証明書は、Web サイトの「身分証明書」です。現実世界のパスポートが「この人物は本人である」と政府が証明するように、デジタル証明書は「このドメインは本物である」と認証局 (CA: Certificate Authority) が証明します。

証明書には以下の情報が含まれています。

• ドメイン名: 証明書が有効なドメイン (例: kakunin-ip.click)
• 公開鍵: 暗号化通信に使用する鍵
• 発行者: 証明書を発行した認証局の名前
• 有効期限: 証明書の有効期間 (現在は最長 398 日)
• デジタル署名: 認証局による改ざん防止の署名

HTTPS 接続の裏側で起きていること

ブラウザが HTTPS サイトにアクセスするとき、TLS ハンドシェイクと呼ばれるプロセスが 0.1〜0.3 秒の間に完了します。

1. 証明書の提示: サーバーがデジタル証明書をブラウザに送信する
2. 証明書の検証: ブラウザが証明書の有効期限、ドメイン名の一致、認証局の署名を検証する
3. 信頼チェーンの確認: 証明書を発行した認証局が、ブラウザに組み込まれた「信頼されたルート認証局」のリストに含まれているか確認する
4. 鍵の交換: 検証に成功すると、暗号化通信に使う共通鍵を安全に交換する
5. 暗号化通信の開始: 以降のすべての通信が暗号化される

このプロセスのどこかで失敗すると、ブラウザは「この接続ではプライバシーが保護されません」という警告を表示します。

証明書の種類と信頼レベル

Let's Encrypt の登場により、DV 証明書は無料で取得できるようになりました。これは Web 全体の HTTPS 化を大きく前進させた一方で、フィッシングサイトも簡単に鍵マークを表示できるようになったことを意味します。

証明書の信頼チェーン - なぜ信頼できるのか

デジタル証明書の信頼は「チェーン (連鎖)」で成り立っています。

あなたのブラウザには、約 100〜150 の「ルート認証局」の証明書があらかじめ組み込まれています。これらは Mozilla、Apple、Google、Microsoft などのブラウザベンダーが厳格な審査を経て選定したものです。

Web サイトの証明書は、通常ルート認証局が直接発行するのではなく、「中間認証局」を経由して発行されます。ブラウザは、サイトの証明書→中間認証局→ルート認証局という信頼の連鎖を辿り、最終的にブラウザに組み込まれたルート認証局に到達できれば「信頼できる」と判断します。

この仕組みが破綻するのは、認証局自体が不正な証明書を発行した場合です。過去には DigiNotar (2011 年) や Symantec (2017 年) が信頼を失い、ブラウザから除外されました。Certificate Transparency は、こうした不正発行を検出するための仕組みです。

証明書の有効期限が短くなっている理由

SSL/TLS 証明書の最大有効期間は年々短縮されています。2012 年には 5 年間有効でしたが、2020 年以降は最長 398 日 (約 13 か月) に制限されました。Apple が 2025 年に提案した方針では、2029 年までに 47 日まで短縮される予定です。

有効期限を短くする理由は、秘密鍵が漏洩した場合のリスクを限定するためです。証明書の有効期間が短ければ、仮に秘密鍵が盗まれても、その証明書が悪用される期間を最小限に抑えられます。証明書の検証は、あなたのデジタルフットプリントを保護するうえでも重要な役割を果たしています。自分の通信が安全に暗号化されているか気になる方は、IP 確認さんでセキュリティスコアや接続状況を確認してみてください。

デジタル証明書と暗号化の仕組みを体系的に学びたい方には、暗号技術の入門書が参考になります。