認証局(CA)は、SSL/TLS証明書を発行・署名する信頼された組織です。認証局が証明書に署名すると、ブラウザはWebサイトが主張通りのものであることを信頼します。認証局なしでは、https://yourbank.comが実際にあなたの銀行であり、なりすましではないことを検証する方法がありません。
CA信頼モデルの仕組み
- ルートCAはブラウザとOSにプリインストールされています。Apple、Google、Mozilla、MicrosoftはそれぞれルートCAのリスト(「ルートストア」)を管理しています。
- 証明書をリクエストすると、認証局はドメイン所有権(DV)または組織ID(OV/EV)を検証します。
- 認証局は秘密鍵で証明書に署名します。この署名が信頼の証明です。
- 訪問者が接続すると、ブラウザはプリインストールされた信頼する認証局のリストに対して署名を検証します。
認証局がトラストストアにあり、署名が有効であれば → パドロックアイコン。そうでなければ → セキュリティ警告。
主要な認証局
| 認証局 | 市場シェア | 無料オプション | 備考 |
|---|---|---|---|
| Let’s Encrypt | 63.9% | ✅ すべて無料 | 非営利、世界最大の認証局 |
| GlobalSign | 22.2% | ❌ | 商用、ヨーロッパで人気 |
| Sectigo | 5.9% | 限定(ZeroSSL無料枠) | 旧Comodo、ZeroSSLを所有 |
| DigiCert | 約3% | ❌ | エンタープライズ向け、SymantecのCAを所有 |
| Google Trust Services | 成長中 | ✅ ACME経由 | Google独自の認証局 |
| Buypass | 1%未満 | ✅ Go SSL(180日) | ノルウェーの認証局 |
Let’s Encryptの63.9%の市場シェアは圧倒的です — 次の5つを合わせたよりも多い。
Let’s Encryptが変えたこと
Let’s Encrypt以前(2016年ローンチ):
- SSL証明書は$50-500/年
- 検証に手動の書類が必要
- WebサイトのHTTPS使用率は約18%
Let’s Encrypt以後:
- 全員に無料のDV証明書
- ACMEプロトコルで完全自動化
- Webサイトの86.9%がHTTPSを使用
- 10億以上の証明書を発行
Let’s Encryptは、ドメイン検証された暗号化はベースラインであり、プレミアム商品ではないことを証明しました。GetHTTPSを使用してブラウザ内でLet’s Encrypt証明書を取得してください。
CA/Browser Forum
CA/Browser Forum(CA/B Forum)は、認証局とブラウザベンダーが共同で証明書発行の標準を設定する業界団体です。主な決定事項:
- Baseline Requirements — すべての公的認証局が従う最低基準
- 証明書有効期間の短縮 — 最大有効期間を2029年までに47日に短縮することを決議
- 証明書の透明性 — 認証局にすべての発行証明書を公開ログに記録することを要求
- 弱いアルゴリズムの廃止 — SHA-1、MD5等を段階的に廃止
メンバーにはApple、Google、Mozilla、Microsoft(ブラウザ側)とLet’s Encrypt、DigiCert、Sectigo、GlobalSign(認証局側)が含まれます。決定には両側からの特別多数決が必要です。
認証局の選び方
ほとんどのWebサイトでは、選択はシンプルです:
| 必要なもの | 推奨認証局 | 取得方法 |
|---|---|---|
| 無料DV証明書 | Let’s Encrypt | GetHTTPSまたはCertbot |
| より長い有効期間の無料DV | Buypass Go(180日) | acme.shまたはCertbot |
| コンプライアンス用OV/EV | DigiCertまたはSectigo | Webサイトから購入 |
| Cloudflareと自動 | Cloudflare | Cloudflareダッシュボードで有効化 |
よくある質問
誰でも認証局になれますか?
技術的には独自の認証局を作成できますが、CA/Browser ForumのBaseline Requirementsに合格してブラウザのトラストストアに追加されなければブラウザは信頼しません。このプロセスには数年かかり、監査に数百万ドル、厳格な運用セキュリティ(オフラインルート鍵、ハードウェアセキュリティモジュール、24時間体制のインシデント対応)の維持が必要です。
認証局が侵害されたらどうなりますか?
ソフトウェア更新を通じて認証局がブラウザのトラストストアから削除されます。その認証局が発行したすべての証明書が信頼されなくなります。注目すべき事件:
- DigiNotar(2011年) — ハッキングされ、Googleやその他ドメインの不正な証明書を発行。認証局は取り消され、破産。
- Symantec(2018年) — 持続的な誤発行の問題。Google Chromeが段階的にSymantec発行のすべての証明書を不信に。DigiCertがSymantecのCA事業を買収。
ルート鍵は物理的なアクセス制御を持つオフラインのハードウェアセキュリティモジュール(HSM)に保管され、このリスクを最小化しています。
すべてのCA証明書はブラウザに同等に信頼されますか?
はい、パドロックアイコンに関しては。無料のLet’s Encrypt DV証明書と$500のDigiCert EV証明書は、アドレスバーに同じパドロックを表示します。ブラウザは暗号化目的ではルートストア内のすべての認証局を同等に信頼します。違いは認証レベル(DV/OV/EV)とサービス(サポート、保証)であり、暗号化強度やブラウザの信頼ではありません。
認証局はいくつありますか?
主要なトラストストアには約100〜150のルートCAがありますが、市場は大きく集中しています。Let’s Encrypt(63.9%)、GlobalSign(22.2%)、Sectigo(5.9%)が全発行証明書の90%以上を管理しています。