信頼の階層

デジタル証明書を有効にするには、証明書のユーザーに高いレベルの信頼が必要です。 ユーザーが証明書の発行者を信頼しない場合があります。 これは、証明書ユーザーが 証明機関 を聞いたことがないため、その発行者からの証明書を額面で受け入れることに不快感を抱いている場合に発生する可能性があります。 この問題は、信頼の階層によって認定プロセスで対処されます。

信頼の階層は、証明書チェーン内のすべてのエンティティによって信頼される少なくとも 1 つの証明機関から始まります。 これは、内部証明機関の管理者、外部企業、または ID の検証と証明書の発行に特化したorganizationです。 この権限は 、ルート権限と呼ばれます。 その後、ルート証明機関は、第 1 層証明機関と呼ばれる他の証明機関を認定し、証明書を発行し、追加または第 2 層の証明機関も認定します。 この状況を次の図に示します。

証明書を発行する証明機関の ID は、証明書の一部です。 その証明機関は、証明書の発行者と呼ばれます。 証明書の発行者がレベル 1 またはレベル 2 の証明機関である場合、その証明書の受信者は、証明書の発行者が、その上のレベルの証明機関によって有効な証明機関として認定されているかどうか、および最下位レベルの間に信頼のチェーンが存在すると判断されるまで、より高いレベルの証明機関によって有効な証明機関として認定されているかどうかを判断できます証明機関とルート証明機関。

たとえば、前の図では、CA #4 が CA #1 によって証明機関として認定され、CA #1 がルート CA によって証明機関として認定されていることを確認できます。 したがって、下位レベルの証明機関からの証明書が暗号化されたメッセージと共に渡されると、ルートまでの信頼チェーン内のすべての証明書に関する情報がそれと共に渡されます。

先ほど説明した図と説明は概念的なものです。 実際には、証明機関の状況は進化しており、単一のルート機関が確立または受け入れられています。 短期的には、次の図に示すように、権威の島が開発されます。

この図のルート アイランド (ルート 1 とルート 2) は、1 つのルート CA に対する階層 1 CA になる可能性があります。 その時点で、状況は再び単一のルート権限を持つことになります。 実際の画像がどのように進化するかはまだ分かっていない。