PKI Terms

PKI用語

Amanda Davis

Public Key Infrastructure (PKI)は、最新のSSL Certificateセキュリティとデジタル・トラスト・システムの基盤を形成しています。

重要な用語を理解することは、組織が強固なセキュリティ対策を実施し、SSL Certificate のニーズについて十分な情報を得た上で意思決定するのに役立ちます。

Trustico®は、デジタル・セキュリティの複雑な世界を明確にするために、PKIの重要な概念に関するこの包括的な概要を提供します。

PKI のコア・コンポーネントと概念

PKI の基本的な構成要素には、公開鍵と秘密鍵のペアがあり、これらが連携して安全な通信を可能にします。

公開鍵は自由に配布できるが、対応する秘密鍵は所有者が安全に保護しなければならない。この非対称暗号化システムにより、SSL 証明書はウェブ通信の安全確保に効果的に機能する。

認証局(CA)は、SSL 証明書を検証し、発行する信頼できる第三者機関です。これらの組織は、PKIエコシステムの完全性を維持するために、厳格な業界ガイドラインとセキュリティ慣行に従っている。

CAがSSL Certificateを発行するということは、基本的にSSL Certificateの所有者の正当性を保証するということです。

Certificate Signing Request(CSR)は、SSL 証明書を取得するための最初のステップである。このエンコードされたファイルには、申請者の組織情報と Public Key が含まれ、CA はこれを使用して最終的な SSL Certificate を生成します。

SSL Certificate の発行を成功させるには、適切な形式の CSR を作成することが重要です。

認証と検証の用語

Domain Validation (DV)、Organization Validation (OV)、Extended Validation (EV)は、SSL 証明書の検証レベルを表す 3 つの主要なタイプです。

各レベルでは、SSL Certificate を発行する前に、要求する組織の身元を確認する必要がある。

CN(Common Name)とは、SSL 証明書が保護する完全修飾ドメイン名のことである。ワイルドカード SSL 証明書の場合、Common Name には、複数のサブドメインをカバーすることを示すアスタリスクが含まれる。

コモン・ネームの適切な書式を理解することは、SSL Certificate の実装上の問題を防ぐのに役立つ。

Subject Alternate Name(SAN)により、1 つの SSL 証明書で複数のドメイン名を保護することができます。この機能は、ドメインごとに SSL Certificate を購入する場合に比べ、柔軟性とコスト削減を実現します。

最新の SSL 証明書では、SAN 機能を利用して関連する複数のドメインを保護することが一般的です。

セキュリティ・プロトコルと標準

TLS(Transport Layer Security)は、旧来の SSL Certificate(Secure Sockets Layer)プロトコルから発展した、暗号化通信の現在の標準です。

SSL証明書という用語はまだ使われていますが、最近の実装ではセキュリティとパフォーマンスを強化するためにTLSプロトコルを利用しています。

X.509は、SSL Certificateおよびその他のデジタルSSL Certificateの標準フォーマットを定義しています。

この国際的に認知された標準は、異なるシステムやアプリケーション間での互換性を保証します。正規の SSL 証明書はすべて X.509 に準拠している。

509に準拠している。

オンライン SSL 証明書ステータスプロトコル(OCSP)により、SSL 証明書の有効性をリアルタイムで検証することができる。

OCSP ステープリングは、ウェブ・サーバーが OCSP レスポンスをキャッシュできるようにすることで、このプロセスを改善し、セキュリティを維持しながら、ルックアップ時間を短縮し、パフォーマンスを向上させる。

鍵管理とストレージ

ハードウェア・セキュリティ・モジュール(HSM)は、プライベート・キーやその他の機密性の高い暗号資料のための安全なストレージを提供します。これらの専用デバイスは、不正アクセスや改ざんから物理的、論理的に保護する。

多くの認証局は、セキュリティインフラの一部として HSM を利用しています。

鍵の長さとは、SSL 証明書に使用される暗号鍵のサイズを指し、通常、ビット単位で測定される。

鍵の長さが長いほど、より強固なセキュリティが得られるが、より多くの計算資源を必要とする。現在の業界標準では、RSA 鍵の最小鍵長は 2048 ビットを推奨している。

SSL 証明書の失効は、SSL 証明書の自然な有効期限が切れる前に、SSL 証明書を無効にする必要がある場合に発生する。これは、プライベート鍵の漏洩、組織の変更、その他のセキュリティ上の懸念が原因で発生する。

SSL証明書失効リスト(CRL)とOCSPは、SSL証明書の有効性を確認する仕組みを提供します。

ブログに戻る

Atom/RSSフィード

Trustico® Atom / RSSフィードに登録すると、ブログに新しい記事が追加されるたびに、選択したRSSフィードリーダーから自動的に通知が届きます。

Atom/RSSで購読する