SSL

https://gihyo.jp/assets/images/design/serial/01/server-knowledge/0003/thumb/TH800_15.png

実はSSL証明書には，SSLサーバ証明書とSSLクライアント証明書の2種類があります。ただしSSLクライアント証明書はあまり一般的ではなく，「⁠SSL証明書」という略称で呼んだときは，だいたいは「SSLサーバ証明書」のことを指すと思ってください。この記事でもSSL証明書という言葉が何度も出てきますが，すべてSSLサーバ証明書のことです。

SSLサーバ証明書はWebサーバに置いてあり，ブラウザでサイトにアクセスすると，エンドユーザのパソコンへWebページと一緒に届けられます

実は，SSL証明書は全然異なる次の2つの仕事をしています。この点がSSL証明書の話の分かりにくさの原因なのです。

Webサイトで送受信する情報を暗号化すること

Webサイト運営者の身元を証明すること

httpだと暗号化されない。透明なトンネル。httpsだと暗号化される

httpsのサイトの中に、「http:」ではじまる絶対パスでアンカーやimgを記載しているとhttps接続できなくなる

WebはHTMLのソースをそのままコピーすれば同じページ簡単につくれる。どちらがほんものか。

「ほんものですよー」を保証してくれるのがSSL証明書。

認証局事業者（サイバートラスト、シマンテック）などから認証してもらう

そこで登場するのが「中間CA証明書」です（CAはCertificate Authorityの頭文字で，日本語に訳すと認証局事業者です⁠）⁠。

認証局事業者にお金を払ってSSL証明書を発行してもらうと，「⁠中間CA証明書」という証明書が一緒についてきます。SSL証明書はWebサイト運営者の身元証明書でしたが，中間CA証明書は認証局事業者の身元証明書なのです。

実はSSL証明書による「身元証明」は，「⁠最下層のSSL証明書＞中間CA証明書＞最上位のルート証明書」とピラミッドのように階層化されています。

SSL証明書と中間CA証明書はサーバに設置されているため，ブラウザでサイトを開くと，Webページと一緒にパソコンへ届けられます。これでAさん，Bさん，Cさんの身元は保証されましたが，ではDさんこと一番下の中間CA証明書2を発行した「GTE CyberTrust Global Root」の身元を証明する「ルート証明書」はどこにあるのでしょうか。

実は，ルート証明書は皆さんが使っているブラウザに最初から入っているのです。ChromeやFirefox，IEといった各ブラウザには，身元保証の連鎖の頂点にある「ルート証明書」が最初からインストールされています。

取得方法について