オレオレ証明書とは？

Webサイトでは盗聴などの危険からユーザを守るために、SSLという暗号化の技術が使われています。「https://」ではじまる通信ですね。

でも、単に相手との通信を暗号化するだけでは、相手が信用できるかどうかまでは、わかりませんので、「デジタル証明書」というものが使われます。

WebサーバとクライアントPCがSSLで通信するとき、Webサーバはクライアントにデジタル証明書を渡すことで、身元を証明しようとします。

クライアント側は、その証明書が、信頼できる機関によって発行されたものかどうかを見て、そのWebサイトが安心できる相手かどうかを判断するわけですね。

この判断はブラウザが勝手に行ってくれるんですが、じゃあブラウザはどうやって信頼できるかどうかを判断するんでしょう？

実は、皆さんの使っているブラウザには、信頼できる外部認証機関の証明書（ルート証明書）が、あらかじめ組み込まれていますので、それらの証明書と同じであれば無条件に正しいと判断することができます。

でも、この証明書の仕組みはオープンになってますので、実はそれらのブラウザにインストールされていない認証機関でも、証明書を発行することができます。

こういう信用できない証明書は、オレオレ詐欺にちなんで、「オレオレ証明書」と呼ばれています。

オレオレ証明書が使われているサイトに接続しようとすると、以下のような警告が表示されます。

■オレオレ証明書の警告

こういった証明書が表示された場合、通信は暗号化されたとしても、誰と通信をしているのかを判断することが非常に難しくなります。

なぜなら、悪意のある誰かが通信に割り込んで、同じようなオレオレ証明書をクライアントに見せることができるからです。

オレオレ証明書を使っているサイトでは、「警告は表示されますが通信は暗号化されますので安全です」といった記載がよくあります。

でも、最近はフィッシング詐欺が流行っていますので、誰かに通信を盗聴されて別のサイトに繋がってしまった場合の危険性を十分認識して接続するようにしてくださいね。