【#30 情報処理安全確保支援士】認証局の階層構造

Yohei Sudo
さん
コメントありがとうございます。
動画がお役に立ててうれしいです(^^)

Tuguさん
いつもコメントありがとうございます。
本当にそうですよね…人間にとってのほんの一瞬で、
コンピュータは膨大な仕事をしてくれています。
ありがたい事です。
Tuguさんのコメント見て、
自分が使ってるパソコンに感謝したくなりました。
いつも頑張ってくれてるので
ディスプレイを優しく拭いてあげる事にします(笑)

へむへむさん
コメントありがとうございます！
＞まんまと想定通りにはまったというのは失礼ですが、普通に感動してしまいました。。
まんまとハマりましたね(・∀・)
…と偉そうに言いましたが、当時私が疑問だった部分です(笑)
勉強する中で同じような疑問で躓く人が多いので、このような動画で疑問点を解決しながら
見てくれる皆さんのお役に立てるのはとても嬉しいです。
そして、へむへむさんのように温かいコメント頂けると
より嬉しく、動画作り頑張るぞー！と元気がもらえます。
10月の試験、もうすぐですね…
最後まで一緒に頑張りましょうー(^^)/

kjm503 zzz
さん
コメントありがとうございます。
明確な答えを探して、いろいろ調べてみましたが
しっくりくる情報がなく
少しあいまいな回答になり恐縮ですが
下記サイトでは
＞公開鍵証明書を受け取った者が、証明書に含まれる電子署名の情報を検証することで、
＞公開鍵がなりすまされたものでないことを保証する。
atmarkit.itmedia.co.jp/ait/articles/0401/01/news066.html
とあるので、
サーバ証明書の中にある情報なのか
または、それに付随して送られてくる情報だと思います。
明確にどこからか分からず申し訳ございません💦
分かった際にはお伝えします(>_

リプライありがとうございます！また、調べていただきありがとうございます！実務でwebサーバに中間証明書を設定し忘れてたにも関わらず、ブラウザでの証明書チェーンの検証が成功している状態になっていて、不思議に思っていたところでした。また何か得られましたら共有いただけますと幸いです！

Sweet pea
さん
コメントありがとうございます。
＞古いPCのルート証明書はあまり良くなかったりしますか？
ルート証明書更新プログラムが機能してれば、古いPCでも問題になる事は少ないようです。
参考サイト
jpwinsup.github.io/blog/2021/12/14/PublicKeyInfrastructure/CertificateManagement/about-windows-root-certificate-program/
参考サイトによると、インターネット接続環境があれば
定期的にルート証明書の更新を行っているようです。
よって、古いPCでもルート証明書の更新が行われ
問題になる事は少ないと思います(^^)
参考になれば幸いです。

赤井武雄さん
いつもコメントありがとうございます！
おそらく赤井さんが最初にメッセージ下さった時の疑問への答えが
この動画に近いのではないかと思います。
階層構造という特徴は仰るようにDNSと同じですね。
ルート認証局が自己署名証明書である事は、意外と知られておらず
試験対策としてもしっかり覚えておくといいかなぁ…と思っています(^^)
引き続きよろしくお願いいたしますー！！

@@masaru-study こちらこそ有益な情報いつも有難うございます。
試験対策と言うより好奇心での勉学のみです。恥ずかしながらいい歳なのでボケないように(笑)

@@user-hn2ws4sd6s コメントありがとうございます！
好奇心でセキュリィティの勉強とは…高尚な趣味ですね。
赤井さんがおいくつかは存じませんが、私も好奇心を大切に色々チャレンジしていきたいです！
いつもありがとうございます(^^)

いつもコメントありがとうございます。
＞ここはなぜ認証局Cの公開鍵を手に入れたことになるんでしょうか？
→公開鍵証明書には公開鍵の情報が含まれており、
公開鍵証明書の正当性が確認出来た為
公開鍵を手に入れたと事になります。
＞PCに適当なルート認証局の公開鍵がインストール？されている。
＞ということでお間違い無いでしょうか？
→はい、ご認識の通りです。
ＰＣのＯＳやWEBブラウザにあらかじめ
ルート認証局の公開鍵が用意されています。
（ルート証明書と説明される事もあります）
参考URL
ssl.sakura.ad.jp/column/difference-in-ssl/

@@masaru-study
いつも最高の学びをありがとうございます。
6:26
1.なぜ認証局の公開鍵証明書は公開鍵証明書と呼ぶのに、サーバの公開鍵証明書はサーバ証明書と呼ぶのでしょうか？
2.PC→プロキシサーバ→ WebサーバでHTTPS通信をする場合、PCはあくまでもプロキシサーバとしか通信をしないと思います。(プロキシサーバで復号するため)
そしてそれを実現するために、PCにはプロキシサーバの「ルート証明書」を格納しておく必要があるかと思います。
では、なぜプロキシサーバの「公開鍵証明書」「サーバ証明書」ではなく、「ルート証明書」と言うのでしょうか？
プロキシサーバはあくまでも一つのサーバなので、ここまでの流れだと「サーバ証明書」もしくは「自己署名証明書」が正確な気がします。
　→あれ、打ち終わった後に気づきましたが、そもそもプロキシサーバが自分で「ルート証明書」を作成するのであれば、PCに格納しておくべきは、「プロキシサーバの公開鍵」では？？？？
　いただいたURLのサイトでは、やはりPCが持っているのは「ルート証明書」とありますが、
　本動画内でも話されているように、PCはあくまでも「ルート認証局の公開鍵」を持っているだけだと思います。
　ここまでの話だと、基本的にサーバ証明書や公開鍵証明書は認証曲やサーバ自身が保持しているのに、
　なぜルート証明書はPCが持たないといけないんでしょうか。。
　ルート証明書じゃなくて、ルート証明書を復号するための「プロキシサーバの公開鍵」が必要な気がしてます。。
　おかしいことがどんどん出てきたので書き殴りましたが、伝わってくださいこの違和感。。
※ちなみに、上記は「ネットワークスペシャリスト試験 平成26年 午後2 問1 設問3 (2)」の問題で上記の答えが「プロキシサーバのルート証明書」になっていたことで、疑問に思ったことが発端となります。
問題文：www.ipa.go.jp/shiken/mondai-kaiotu/ug65p90000000ye5-att/2014h26a_nw_pm2_qs.pdf
回答：www.ipa.go.jp/shiken/mondai-kaiotu/ug65p90000000ye5-att/2014h26a_nw_pm2_ans.pdf

@@user-ur6yi2ls7n
こちらこそいつも温かなコメントありがとうございます！
1.なぜ認証局の公開鍵証明書は公開鍵証明書と呼ぶのに、サーバの公開鍵証明書はサーバ証明書と呼ぶのでしょうか？
＞用途によって、呼び方を変えているからです。
まずはデジタル証明書という大きな枠組みがあって、
正規のサーバである事を証明したい場合は、サーバ証明書
正規のクライアントである事を事を証明したい場合は、クライアント証明書などと言われます。
そして、正規の公開鍵である事を証明した場合は、公開鍵証明書と呼ばれます。
サーバ証明書の中には、
自分はこういうサーバです。という情報と
自分を暗号通信したければ、この公開鍵を使ってください。
この公開鍵の正当性はこうやって確認できます。という情報が含まれています。
正規であるサーバの証明（サーバ証明書）
正規の公開鍵で有ることの証明（公開鍵証明）
両方の役割があります。
2.なぜプロキシサーバの「公開鍵証明書」「サーバ証明書」ではなく、「ルート証明書」と言うのでしょうか？
クライアントにはプロキシサーバーのデジタル署名を作ったCAを信頼するためのルート証明書としてインストールするからです。
knowledge.digicert.com/ja/jp/solution/SO23057.html
もしプロキシサーバーが、自分自身で証明書を作る場合は
抹茶クッキーさんの仰るとおり自己署名証明書になります。
ただ、一般的にプロキシサーバーが証明書を作る事は少なく
認証局を別に用意する事が多いと思います。
この時、プロキシサーバーの証明書を作った
認証局を信頼する為にルート証明書とクライアントにインストールします。
伝わってほしい…私のつなたない文章で🥲