デジタル証明書とは

デジタル証明書 (Digital Certificate) は、公開鍵の所有者を証明する電子的な身分証明書です。認証局 (CA: Certificate Authority) が発行し、「この公開鍵は確かにこのドメイン (または組織) のものである」ことを保証します。

Web ブラウザで HTTPS サイトにアクセスすると、サーバーがデジタル証明書を提示します。ブラウザは証明書の有効性を検証し、問題がなければ鍵マークを表示して TLS 暗号化通信を開始します。証明書に問題がある場合は「この接続ではプライバシーが保護されません」という警告が表示されます。

証明書の技術的な基盤は公開鍵暗号方式です。認証局が自身の秘密鍵で証明書に署名し、ブラウザが認証局の公開鍵で署名を検証する仕組みです。

証明書の種類

DV (Domain Validation) 証明書: ドメインの所有権のみを検証する最もシンプルな証明書。DNS レコードやメール認証で自動発行される。Let's Encrypt で無料取得可能。個人サイト、ブログ、小規模サービスに適している。暗号化の強度は OV や EV と同じ。
OV (Organization Validation) 証明書: ドメインの所有権に加え、組織の実在性を認証局が審査して発行する。証明書の詳細に組織名が記載される。企業の公式サイトやサービスで一般的。年間数万円程度。
EV (Extended Validation) 証明書: 最も厳格な審査を経て発行される。法的実在性、物理的所在地、申請権限者の確認が必要。以前はアドレスバーに組織名が緑色で表示されたが、2019 年以降の主要ブラウザではこの表示は廃止された。年間十数万円以上。
ワイルドカード証明書: *.example.com のように、サブドメイン全体をカバーする証明書。複数のサブドメインを運用する場合にコストと管理の手間を削減できる。

デジタル証明書の信頼性は「信頼の連鎖」によって成り立っています。

ルート証明書: 最上位の認証局 (ルート CA) が自己署名で発行する証明書。OS やブラウザにあらかじめ組み込まれている (トラストストア)。DigiCert、GlobalSign、ISRG (Let's Encrypt) などが代表的。
中間証明書: ルート CA が中間 CA に発行する証明書。ルート CA の秘密鍵を直接使うリスクを軽減するために存在する。
サーバー証明書: 中間 CA が Web サイトに発行する証明書。ブラウザはサーバー証明書 → 中間証明書 → ルート証明書の順に署名を検証し、信頼チェーンが途切れていないことを確認する。

中間証明書の設定漏れは、よくあるサーバー設定ミスの 1 つです。サーバー証明書だけを設定し、中間証明書を含めないと、一部のブラウザやクライアントで証明書エラーが発生します。

証明書の運用で注意すべきポイントを整理します。

有効期限の管理: 証明書には有効期限があり (現在は最長 398 日)、期限切れになるとブラウザが警告を表示します。Let's Encrypt の証明書は 90 日間有効で、自動更新 (certbot) の設定が必須。
証明書の自動更新: 手動更新は期限切れのリスクが高い。ACME プロトコルによる自動更新を設定し、更新失敗時のアラートも構築する。
証明書の透明性 (CT): Certificate Transparency は、認証局が発行したすべての証明書を公開ログに記録する仕組み。不正な証明書の発行を検知できる。自分のドメインの CT ログを監視し、身に覚えのない証明書が発行されていないか確認することを推奨。
HSTS との併用: 証明書を導入したら HSTS ヘッダーも設定し、ブラウザが常に HTTPS で接続するようにする。

フィッシングサイトも DV 証明書を取得できるため、証明書の存在 (鍵マーク) だけでサイトの正当性を判断してはいけません。

EV 証明書は DV 証明書より暗号化が強い: 暗号化の強度は証明書の種類に依存しません。DV、OV、EV のいずれも同じ TLS 暗号化を使用します。違いは「誰がそのドメインを運営しているか」の検証レベルだけです。
証明書は高額なものほど安全: Let's Encrypt の無料 DV 証明書と、有料の DV 証明書で暗号化の安全性に差はありません。有料証明書の付加価値は、組織認証、ワイルドカード対応、サポート、保証金などであり、暗号化の強度ではありません。