証明機関(認証局)の階層化の理由

証明機関は階層構造を取ることができます。ツリー構造的に管理ができ、整理がしやすいためです。フォルダと同じ原理です。3階層や4階層のパターンが多いですが、2階層のパターンは商用ではあまり見られません

なぜでしょうか?

それは運用とセキュリティの観点からです。実際にCAを構築する際の設計をしてみましょう。

スポンサーリンク

顧客への証明書の発行は速やかに実施されるべきです。そのため、発行手続きもある程度簡素化し、オンラインで発行ができるものがよいでしょう

しかしオンラインであるがゆえに、脆弱性を突かれ、証明書の利用が適正に行われない可能性もあり、その際にはその証明書を発行した上位CAの証明書を無効化する必要があります。

このとき、2階層だった場合、「証明書を発行した上位CAの証明書=ルート証明書を無効化」することになりますが、 それを実行した場合、発行した全ての証明書が無効化されてしまいます

この事態を避けるため、間に中間認証局を挟み、3階層にします

ルート認証局はオフラインで構築しておき、別途構築した複数の中間認証局へ、それぞれ中間証明書を発行します。

これでオンラインの中間認証局が1つ攻撃を受けた際、影響を抑えることができます

スポンサーリンク
スポンサーリンク
スポンサーリンク

シェアする

  • このエントリーをはてなブックマークに追加

フォローする

スポンサーリンク
スポンサーリンク