信頼の階層

デジタル証明書 有効にするには、証明書のユーザーに高いレベルの信頼が必要です。 ユーザーが証明書の発行者を信頼しない場合があります。 これは、証明書ユーザーが 証明機関の について聞いたことがなく、その発行者からの証明書を額面で受け入れることに不快である場合に発生する可能性があります。 この問題は、信頼の階層によって認定プロセスで対処されます。

信頼の階層は、証明書チェーン内のすべてのエンティティによって信頼されている少なくとも 1 つの証明機関から始まります。 これは、内部証明機関管理者、または ID の検証と証明書の発行を専門とする外部の会社または組織です。 この権限は、ルート権限と呼ばれます。 ルート証明機関は、第 1 層証明機関と呼ばれる他の証明機関を認定し、証明書を発行し、追加または第 2 層の証明機関を認定することもできます。 この状況を次の図に示します。

信頼する

証明書を発行する証明機関の ID は、証明書の一部です。 その証明機関は、証明書の発行者と呼ばれます。 証明書の発行者が階層 1 または階層 2 の証明機関である場合、その証明書の受信者は、証明書の発行者が、その上のレベルの証明機関によって有効な証明機関として認定されているかどうか、および最下位レベルの間に信頼のチェーンが存在すると判断されるまで、より高いレベルの証明機関によって有効な証明機関として認定されているかどうかを判断できます。証明機関とルート証明機関。

たとえば、前の図では、CA #4 が CA #1 によって証明機関として認定され、CA #1 がルート CA によって証明機関として認定されたことを確認できます。 したがって、下位レベルの証明機関からの証明書が暗号化されたメッセージと共に渡されると、ルートまでの信頼チェーン内のすべての証明書に関する情報が一緒に渡されます。

説明した図と説明は概念です。 現実の世界では、証明機関の状況は進化しており、単一のルート機関は確立されておらず、受け入れもされていません。 短期的には、次の図に示すように、権限の島が開発されます。

信頼権限の島

この図のルート アイランドであるルート 1 とルート 2 は、1 つのルート CA に対する階層 1 CA になる可能性があります。 その時点で、状況は再び単一のルート権限を持つことになります。 実際の画像がどのように進化するかはまだ分かっていない。