これは、自己署名証明書と CA 証明書の間の議論に関する一般的な質問です...
ほとんどのブラウザーで生成される警告が回避されることによる CA 証明書の利点は理解していますが、CA 証明書は実際のセキュリティにどのような利点がありますか? 最大の脅威は中間者攻撃であるとよく耳にします。この脅威が自己署名証明書を使用していることは理解していますが、CA 証明書がこれをどのように防いでいるかはわかりません。CA が独自のセキュリティ アルゴリズムを実行することは知っていますが、同じアルゴリズムを自己署名証明書で使用することはできませんか?
CA証明書の必要性を中心に展開する大企業に少しイライラしていると思いますが、CA証明書が実行すると思われる追加のセキュリティチェック以外に、それらについて何か違うものを見つけることができないようです. 自己署名証明書では提供できないセキュリティの観点から CA が提供できるものはありますか?
スプーフィング。相手が自己署名証明書を偽造した場合、これを確認する方法はありません。偽造されたものではなく有効な証明書を受け取ったことを確認するには、簡単になりすましができないサードパーティのチェックが必要です。これは、ルート CA 証明書 (およびいくつかの中間証明書) のリストをクライアント側のソフトウェア (Windows にはそのような証明書が含まれており、主要なブラウザーにも同じことが行われます) を保持し、それらの CA 証明書を使用してサーバーから受け取った証明書を検証することによって行われます。 . 自己署名証明書では、そのような検証は不可能です。
もちろん、クライアント アプリケーションで自己署名証明書を持ち運ぶことはできます (これは一部の開発者、特に社内アプリケーションの場合に行うことです) が、これはブラウザーでは機能しません。
違いはアルゴリズムではなく、人々が認証局を信頼するかどうかにあります。
証明書のポイントは、接続しようとしている人と接続していることを確認することです。
私があなたに「私は正しいサーバーです、これについて私を信頼してください」と言うなら、あなたは私を信じないことを選ぶかもしれません(結局のところ、あなたは私を知りません)。
「私は正しいサーバーであり、それを証明する証明書を持っています」と言うと、「わかりました。誰がこの証明書を渡したのですか?」と言うことができます。私の返事が「角を曲がったところからのジョー」であるならば、あなたはまだ私を信じないことを選ぶかもしれません。
しかし、私が「私は証明書を持っており、信頼できる第三者にそれを確認することができます」と言うと、これは身元の良い証拠であると判断するかもしれません。
それが標準のすべてであることを確認する方法(たとえば、RFC 5280で説明されているように)。しかし、それは単なる技術です。VeriSignから発信された証明書と、自分で生成した証明書には、まったく同じアルゴリズムを使用できます。
本当の問題は信頼についてです:あなたはあなたに「アイデンティティの証拠」を与えている人を信頼しますか?私たちはVeriSignを十分に信頼しており、VeriSignからの身元の証明をすべてのブラウザで受け入れることができます。独自の自己署名証明書を生成する個人を信頼する必要がありますか?場合によっては(その場合、ブラウザに証明書を手動でインストールできます)実行する場合がありますが、原則として実行することはできません。