TLS用語

cert-managerドキュメントで使用されているTLS用語（例：公開的に信頼されている、自己署名、ルート、中間、リーフ _証明書_）について説明します。

概要

TLSは広く展開されているため、用語が混同されたり、異なる意味で使用されたりすることがあります。この現実とTLSの複雑さが組み合わさると、深刻な誤解や混乱につながる可能性があります。

さらに詳しい情報については、関連するRFCを参照することをお勧めします。

「公開的に信頼されている」とはどういう意味ですか？

大まかに言うと、「公開的に信頼されている」証明書とは、インターネットで使用でき、最新のコンピューターの大部分がシステムの信頼ストアを使用してそれを検証できることを期待できる証明書です。

「公開的に信頼されている」証明書を含む単一の標準的な信頼ストアはありませんが、一般的に、一般的に見られる信頼ストアのほとんどは似ています。例としては、MozillaのCA証明書プログラムがあります。

自己署名とは、その名前が示す通り、自身の秘密鍵で署名された証明書です。

ただし、自己署名は一般的に誤解されている用語であり、非常に頻繁に「公開的に信頼されていない」という意味で誤用されています。組織が組織外では信頼されない独自の内部CA証明書を持つ可能性のある状況を示すために、「プライベートPKI」のような用語を使用する傾向があります。

例として、MozillaのCA証明書プログラムには多くの自己署名証明書がありますが、これらの証明書のすべては通常「公開的に信頼されている」と説明されます。

証明書は、自身のキーで署名されている場合のみ、自己署名です。

cert-managerは次の定義を使用します。

ルートは自己署名証明書であり、ほとんどの場合、CA証明書としてマークされています。検証するために明示的に信頼する必要があるため、TLSハンドシェイク中にワイヤ経由で送信されることはほとんどありません。

ルートは、場合によっては「明示的に信頼されているCA証明書」として定義されます。これには、自己署名ではない証明書が含まれる場合があります。cert-managerはこの定義を使用しません。

新しいルートを含めるか、古いルートを削除するために信頼ストアを変更することは、公開的に信頼されているルートの場合、数ヶ月から数年かかる可能性のある簡単な作業ではありません。このため、ルートは通常、非常に長い有効期間（多くの場合、数十年単位）で発行されます。

中間証明書は、別のCAによって署名されたCA証明書です。中間証明書のほとんどはルート証明書によって署名されますが、中間証明書が別の中間証明書によって署名される可能性のあるより長いチェーンを構築することも可能です。

中間証明書は、署名したCAよりもはるかに短い有効期間で発行されるのが一般的です。インターネット上では、中間証明書は、非常に貴重なルート証明書を完全にオフラインのままに保つために、ネットワーク接続されたマシンで日常的な発行に使用されます。

中間証明書は、信頼ストアへの追加によって明示的に信頼することもできますが、通常はチェーンを「上へ辿る」ことによって検証され、明示的に信頼されている自己署名ルート証明書が見つかるまで署名を検証します。

リーフ証明書は、通常、他の証明書に署名するために使用されるのではなく、特定のIDを表すために使用されます。インターネット上のリーフ証明書は、通常、example.comなどの特定のドメインを識別します。

リーフ証明書は、証明書のチェーンの先頭に送信され、そのチェーンの終わりを表します。信頼できるルート証明書まで署名を検証することで検証できるチェーンを作成するために必要な中間証明書とともに送信する必要があります。