☆ここでいう証明書は「SSL証明書」のことです。
さて、サイトを作る際にhttpではなくてhttpsを使いましょうという話をしました。
これ自体はWebサーバ(IISやApacheなど)の設定ですぐに出来てしまいます。
通信ポートは80/tcpから443/tcpへ変更され(もちろん他のポートを指定することも出来ます)、通信は暗号化されます。
でもこうしたサイトはほんとうの意味で信頼されません。
なぜでしょうか。
ここを簡単に説明します。
上記の設定だけだと、「このサーバは信頼できるサイトですよ」という「証明」を行う「証明書」が「自分で発行したもの」になるんです。
よく言われる例えが「オレオレ詐欺と同等」というもので、まさしく自分で自分を証明しているんです。
なので、信頼するに値しないサイトということになるんですね。
ではどうしたら良いのでしょうか。
それは、「認証局(CA)」と言われる事業者から証明してもらうんですね。
申込みから1週間も待てばその認証局から証明書が届きます。
それをWebサーバにインストールするわけです。
この認証局には2つの種類があって、一つは「ルート認証局」もうひとつは「中間認証局」と呼びます。
ですので認証局からは2種類の証明書が発行されてくると思います。
認証の順番としては、
ルート認証局が中間認証局を証明し、中間認証局があなたのWebサーバ(あるいはあなたの組織(会社)を証明する、という感じです。
ここ10年くらいのあいだで、この証明書は有効期限を1年にしなさいということになりました。
以前はもっと長かったので、1度証明書をインストールしたらサーバリプレースまでの間に証明書を交換することは1度あるかないか、といった頻度だったのですが、現在ではこの証明書の発行依頼>受け取り>入れ替えの作業が年に1度発生します。
この仕組みはメールサーバなどにも必要になるものなので、よく慣れておいてください。