メニュー
【SSL証明書】FAQ/情報
↑ 上へ
注文
検索
証明書透明性(CT:Certificate Transparency)ログとは?
ページ更新日:2026/04/24
証明書透明性(CT:Certificate Transparency)は、発行されたSSL証明書を公開ログに記録し、誰でも監査できる仕組みです。
Googleが主導して策定し、2018年4月以降、ChromeではCTログへの記録が必須要件となっています。
CTログが必要な背景
過去に認証局が不正な証明書を誤発行したり、ハッキングによって悪意ある証明書が発行されるインシデントが発生しました。
CTログはこうした不正を早期発見・対処するために設計されました。すべての証明書発行がログに記録されることで:
- ドメイン所有者が自分のドメインで不正な証明書が発行されていないか監視できる
- ブラウザベンダーや研究者が問題のある証明書を追跡・検出できる
- 認証局の発行行為の透明性が保たれる
CTログの仕組み
- 認証局がSSL証明書を発行する際、CT対応のログサーバー(Google・Cloudflare・DigiCertなど)に証明書データを送信
- ログサーバーは証明書を記録し、SCT(Signed Certificate Timestamp)を返す
- SCTは証明書の拡張フィールド、TLSハンドシェイクのTLS拡張、またはOCSPレスポンスのいずれかに含められる
- ブラウザはSCTを検証し、有効なCT記録がない証明書を警告またはブロックする
Chromeの要件
| 項目 | 内容 |
| 必須化時期 | 2018年4月30日以降に発行された証明書に適用 |
| SCTの最低数 | 証明書の有効期間に応じて2〜3つの独立したログからのSCTが必要 |
| 対応状況 | 主要認証局(DigiCert・GeoTrust等)はすべてCT対応済み。当社取り扱い製品も全てCT対応。 |
| 不対応の場合 | Chromeで「NET::ERR_CERTIFICATE_TRANSPARENCY_REQUIRED」エラーが表示される |
ワイルドカード証明書とCTログ
シングル証明書(www.example.com)では、FQDNがCTログに記録されます。
一方、ワイルドカード証明書(*.example.com)では「*.example.com」という形式でログに記録されるため、実際のサブドメイン一覧は公開されません。
サブドメイン名を外部に公開したくない場合は、ワイルドカード証明書を選択することでCTログへの露出を最小化できます。
CTログで証明書を調査する方法
自分のドメインで発行済みの証明書一覧は、以下のサービスで確認できます:
- crt.sh(
https://crt.sh/?q=example.com):最もよく使われるCTログ検索サービス。ドメインを入力して検索可能。 - Censys(
https://search.censys.io/):高度な検索・フィルタリングが可能。
ドメインを定期的に監視することで、不正発行された証明書をいち早く発見できます。
CTログと証明書の有効性への影響
- CTログへの登録は認証局が自動的に行うため、通常は証明書ユーザーが手動で対応する必要はありません。
- 当社で取り扱う全証明書はCT対応済みです。
- CTログに記録された証明書の削除はできません(不変ログ)。不正証明書が発見された場合は失効(Revoke)による対処となります。
📌 関連ページ:
HSTS(HTTP Strict Transport Security)とは?
ワイルドカード証明書について、そのメリット
SSLとTLSの違い・TLSとは何か