デジタル証明書とは？

こんにちは！！IT業界に未経験で転職したパグプーです🐶
転職前に独学でITを勉強しましたが、実際に仕事を始めてみると、こんな疑問が出てきました。
「ITの専門用語って、なんとなくの理解で使ってしまうことが多くないですか？」
「勉強した知識を、実際の業務でどう使うのかイメージしづらいことってありませんか？」
このサイトでは、私自身が「これってどういう意味なんだろう？」と感じたIT用語を、できるだけわかりやすく紹介・解説していきます。

今回のテーマは「デジタル証明書」です。
なりすましサイトや詐欺メールが増えている今、相手が本物であることを証明する仕組みとして、デジタル証明書の重要性はこれまで以上に高まっています。デジタル証明書は名前のとおり、デジタル版の身分証明書ですが、実は用途によって複数の種類が存在します。種類を理解していないと、必要な証明書とは別のものを発行してしまうケースもあります。
この記事では、そうした誤発行を防ぐために、デジタル証明書の種類と役割をわかりやすく解説します。

デジタル証明書の概要
1. デジタル証明書の種類
2. 証明書チェーンとは
[Q] デジタル証明書の知識をどう活かせる？

デジタル証明書の概要

デジタル証明書とは、インターネット上で「この人（このサイト）は本物ですよ」と証明するための身分証明書のデジタル版 です。インターネットで安全に相手を信頼できるようにするために開発されました。

デジタル証明書には、ざっくり次のような情報が入っています。
・公開鍵（暗号通信に使う鍵）
・証明書を発行した機関（CA：認証局）
・有効期限
・改ざんされていないことを示す電子署名
これらがセットになって、「この公開鍵は確かにこの相手のものです」と第三者（認証局（CA)）が保証する仕組みです。

デジタル証明書の種類

ITの世界で主に使用されるデジタル証明書は以下の通りです。

種類	役割	用途
サーバ証明書（SSL/TLS証明書）	・Webサーバとブラウザ間の通信を暗号化し、盗聴や改ざんを防ぐ・サーバの正当性を証明する	・HTTPS通信（Webサイトのセキュリティ）・API通信の暗号化・オンライン決済やログインページの保護
クライアント証明書	・ユーザーやデバイスを認証するための証明書・サーバ側で「このクライアントは信頼できる」と判断する	・VPN接続時の認証・社内システムへのアクセス制御・IoTデバイスの認証
コードサイニング証明書	・ソフトウェアやアプリに署名し、改ざんされていないことを保証する・開発者や配布元の企業の正当性を証明する	・Windowsドライバやアプリの署名・モバイルアプリ（iOS/Android）の署名・ソフトウェア配布時のセキュリティ確保
S/MIME証明書	・電子メールの暗号化と署名・送信者の正当性を保証し、内容を保護する	・機密情報を含むメールの送信・ビジネスメールのなりすまし防止・法的に重要なメールの改ざん防止
ルート証明書	・認証局（CA)の信頼の基盤・他の証明書の信頼性を保証する	・OSやブラウザにプリインストールされ、証明書チェーンの最上位に位置する・サーバ証明書やクライアント証明書の検証に利用される
中間証明書	・ルート証明書とエンドエンティティ証明書をつなぐ・信頼性を階層的に構築する	・SSL/TLS証明書のチェーン構造で利用される・サーバ証明書の信頼性を補強する
デバイス証明書	・IoT機器やネットワーク機器の認証・デバイス間通信のセキュリティ確保	・スマート家電のクラウド接続・産業機器の遠隔管理・モバイル端末の企業ネットワーク認証
ワイルドカード証明書	・複数のサブドメインを1枚の証明書で保護する	・*.example.comのように、サブドメインをまとめてHTTPS化する・大規模Webサービスでの証明書管理を簡略化する
SAN証明書 (Subject Alternative Name)	・複数のドメインやサブドメインを１枚の証明書で保護する	・example.comやexample.netを同時に保護する・マイクロサービスや複数ブランドサイトで利用される
自己署名証明書	・認証局（CA)を介さず、自分で発行する証明書・信頼性は低いが、開発テストで利用される	・開発環境でのHTTPS通信テスト・社内限定システムでの簡易認証

証明書チェーンとは

ルート証明書や中間証明書の説明にあった「証明書チェーン」とは、エンドエンティティ証明書（実際に使用される証明書のことで、サーバ証明書やクライアント証明書が挙げられます）が信頼できることを段階的に証明する仕組みのことです。

デジタル証明書は、原則として単体の証明書だけで信頼を判断するのではなく、複数の証明書を連結（チェーン）して検証します。これは単体の証明書だけでは証明書の内容や発行・署名した主体が信頼できるか確認できないからです。

「証明書チェーン」は基本的に次の３階層で構成されます。
（１）ルート証明書
（２）中間証明書
（３）エンティティ証明書

「証明書チェーン」の検証の流れは、
エンドエンティティ証明書→中間証明書→ルート証明書　の順にさかのぼって行われます。
この流れは「証明書を署名した発行者は信用できるのか？」を繰り返し確認するからです。

[Q] デジタル証明書の知識をどう活かせる？

[A] 用途に合ったデジタル証明書を発行できます。

デジタル証明書の種類を理解していないと、必要な証明書とは別のものを発行してしまうケースもあります。この記事を通して、各種類と用途を理解し、そうした誤発行を防ぎましょう！

種類	役割	用途
サーバ証明書（SSL/TLS証明書）	・Webサーバとブラウザ間の通信を暗号化し、盗聴や改ざんを防ぐ・サーバの正当性を証明する	・HTTPS通信（Webサイトのセキュリティ）・API通信の暗号化・オンライン決済やログインページの保護
クライアント証明書	・ユーザーやデバイスを認証するための証明書・サーバ側で「このクライアントは信頼できる」と判断する	・VPN接続時の認証・社内システムへのアクセス制御・IoTデバイスの認証
コードサイニング証明書	・ソフトウェアやアプリに署名し、改ざんされていないことを保証する・開発者や配布元の企業の正当性を証明する	・Windowsドライバやアプリの署名・モバイルアプリ（iOS/Android）の署名・ソフトウェア配布時のセキュリティ確保
S/MIME証明書	・電子メールの暗号化と署名・送信者の正当性を保証し、内容を保護する	・機密情報を含むメールの送信・ビジネスメールのなりすまし防止・法的に重要なメールの改ざん防止
ルート証明書	・認証局（CA)の信頼の基盤・他の証明書の信頼性を保証する	・OSやブラウザにプリインストールされ、証明書チェーンの最上位に位置する・サーバ証明書やクライアント証明書の検証に利用される
中間証明書	・ルート証明書とエンドエンティティ証明書をつなぐ・信頼性を階層的に構築する	・SSL/TLS証明書のチェーン構造で利用される・サーバ証明書の信頼性を補強する
デバイス証明書	・IoT機器やネットワーク機器の認証・デバイス間通信のセキュリティ確保	・スマート家電のクラウド接続・産業機器の遠隔管理・モバイル端末の企業ネットワーク認証
ワイルドカード証明書	・複数のサブドメインを1枚の証明書で保護する	・*.example.comのように、サブドメインをまとめてHTTPS化する・大規模Webサービスでの証明書管理を簡略化する
SAN証明書 (Subject Alternative Name)	・複数のドメインやサブドメインを１枚の証明書で保護する	・example.comやexample.netを同時に保護する・マイクロサービスや複数ブランドサイトで利用される
自己署名証明書	・認証局（CA)を介さず、自分で発行する証明書・信頼性は低いが、開発テストで利用される	・開発環境でのHTTPS通信テスト・社内限定システムでの簡易認証