セキュリティ用語集

オレオレ証明書

用語の別名	自己署名証明書、Self-Signed-Certificate
ジャンル	[攻撃][認証]
内容	技術的に見ると正しい方法で発行されているが、権限や信頼性を全く持たない認証局から勝手に発行された証明書を「オレオレ証明書」と呼びます。現実社会で例えれば、全く知らない組織で勝手に発行された証明書を提示されているのと同じ状態です。証明書の発行元となる認証局はツールがあれば誰でも構築可能であり、その認証局から証明書を発行することは全く問題ありません。通常、ユーザは信頼できる認証局のルート証明書をブラウザやOSの中で保持しており、仮にサーバ側からオレオレ証明書が提示されても警告を表示してくれます。しかし、このような仕組みを知らないユーザは警告をスキップしてしまう傾向にあり、オレオレ証明書が通用してしまうというのが現状です。