オレオレ証明書 - 通信用語の基礎知識

SSLなどのPKIで、信頼性のないサーバ証明書のこと。

概要

そもそも証明書、例えば「SSL証明書」とは、「信頼できる機関」が電子署名した公開鍵、がその正体である。

通信の暗号化のために公開鍵を使うが、通信相手が本物かどうか、これだけでは判断できない。そこで、信頼ある電子書名を添付するのが、証明書の本来の目的である。

しかし、信頼性不明な証明機関であったり、自分で自分を証明したような証明書では信頼性などあるはずもなく、偽造すら疑われる。

こういった証明書を総じて「オレオレ証明書」という。

SSLは通信内容の暗号化だけでなく、通信相手を証明する機能も持っている。

SSL本来の目的は暗号化なので、証明は付加機能とも言える。このため、「とりあえず暗号化さえ出来ればよい」と考えた結果、小規模のショッピングサイトなどを対象に殆ど審査無しで認証に応じる認証局が現われたりした他、根本的に有効性を検証できない証明書を意図的に使うWebサーバが蔓延した。

当然ながら、Webブラウザはこのような怪しげな証明書に対し「これは危険だ」と警告文を出すことになるが、Webサイト側で、警告が出るのは仕様なので無視することを推奨する説明が書かれたりもした。

信頼性がない、信頼すべき根拠が全くない証明書を無条件に信頼させることは、「オレオレ詐欺」(振り込め詐欺)の犯人が「オレオレ」と言って自分を子や孫と信頼させるのと何も変わらない。

こういった不正な証明書では、暗号自体の信頼性も疑問であり、盗聴される恐れもある。

そこで、オレオレ詐欺同様のこの手口による証明書はいつしか「オレオレ証明書」と呼ばれるようになった。