認証局 とは？

認証局はインターネットのアイデンティティシステムの信頼のアンカーです。CAがドメインの証明書を発行する際、証明書ホルダーがそのドメインの管理を証明したことを証明しています。ブラウザとOSには事前インストールされた信頼できるルートCAの証明書が含まれています。ブラウザがサーバーの証明書に遭遇すると、接続を信頼するかどうかを決めるために、これらの信頼できるルートまで署名のチェーンを遡ります。

証明書発行プロセスは検証レベルによって異なります。ドメイン検証（DV）証明書はドメイン管理の証明のみ必要（通常DNSまたはHTTPチャレンジ経由）で、数分で発行できます。組織検証（OV）および拡張検証（EV）証明書は申請組織の法的アイデンティティの確認が必要です。Let's Encryptは無料の自動化されたDV証明書を普及させ、ウェブ全体でのHTTPS採用を劇的に増加させました。

CAの侵害はインターネットセキュリティへの最も深刻な脅威の一つです。攻撃者がCAの署名キーの制御を得ると、任意のドメインの偽造証明書を発行でき、検出不能な中間者攻撃を可能にします。これは実際に起きています。2011年のDigiNotarの侵害は完全な信頼失失と解散につながりました。発行されたすべての証明書の公開的な追記のみのレコードであるCertificate Transparencyログが、このような不正な発行を迅速に検出するために導入されました。

Vaulted における 認証局 の使われ方

VaultedのHTTPS証明書は信頼できる認証局によって発行されており、ブラウザが正規のVaultedサーバーに接続していることを確認できます。これにより、中間者攻撃者がVaultedを装って暗号化されたシークレットを傍受したり、悪意のあるJavaScriptを提供したりすることを防ぎます。CAに支えられたTLS接続がトランスポートレイヤーを保護しますが、Vaultedのセキュリティモデルはそれだけに依存していません。クライアントサイド暗号化により、TLSチャネルが侵害されても暗号文のみが露出し、平文のシークレットは露出しません。