認証局(CA)

認証局(CA)は『Certificate Authority』の略で、デジタル証明書を発行・管理・失効する機関です。インターネット上の信頼モデルの最上位に位置し、ブラウザやOSにあらかじめ組み込まれた『ルートCA』から、『中間CA』『サーバー証明書/クライアント証明書』へと階層的に信頼をつなげていく『信頼の連鎖（Chain of Trust）』の起点になります。

主要なパブリックCAとしては、①DigiCert、②Sectigo、③GlobalSign、④IdenTrust、⑤Let's Encrypt（無料・自動化特化）、⑥Google Trust Services、⑦Amazon Trust Servicesなどが知られています。各CAはブラウザベンダーやOS提供者が定める厳しい基準（CA/Browser Forum基準）を満たして初めてルートプログラムに追加されます。過去には不正発行や管理不備でCAがルートプログラムから除外される事例もあり、信頼は常に監査と運用で維持される前提です。

企業内ではActive Directory Certificate Services(ADCS)等で『プライベートCA』を運用し、社員用クライアント証明書・社内サーバー用証明書・VPN認証証明書などを発行するのが一般的です。プライベートCAのルート証明書は社内端末に配布して信頼させますが、外部には公開しないため、社内向けEAP-TLSやVPN認証に最適な選択肢となります。

運用上、CAは①秘密鍵の厳重管理（HSM・オフライン保管）、②証明書ポリシー(CP)と証明書運用規程(CPS)の策定・公開、③失効情報の配信（CRL/OCSP）、④透明性ログ(CT)への登録、⑤監査（WebTrust等）の継続受審、などを行います。エンドユーザーがブラウザの鍵マークを信じられるのは、これらの地道な運用が全世界のCAで並行して続いているおかげで、CAが破綻すればインターネットの信頼モデルそのものが揺らぐ、極めて重い責任を背負った存在と言えます。