デジタル証明書 とは？

ウェブサイトが「本物かどうか」を証明するためだよ。例えば「このサイトは本当にAmazonです」と第三者が保証してくれる仕組みで、なりすましサイトを見分けるための仕掛けなんだ。

認証局（CA：Certificate Authority）という機関だよ。ブラウザやOSには信頼できるCAのリストが最初から入っていて、そのCAが署名した証明書なら信頼できるとみなすんだ。

「通信が暗号化されている」は保証されるけど、「サイトが安全か」は別の話なんだ。フィッシングサイトでも証明書を取得できるから、鍵マークだけで安全とは言えないよ。URLとサイトの内容も確認することが大切だね。

ブラウザが「この証明書は期限切れです」と警告を表示して、ユーザーがアクセスをためらうようになるんだ。正規のサイトでも更新を忘れると機会損失になる。無料で自動更新できるLet's Encryptが普及したことで、更新忘れは以前より減ったよ。

違うよ。有効期限は最初から決まった日付だけど、失効は「期限前に無効化する」こと。秘密鍵が漏えいしたときやドメインの所有者が変わったときなどに、CAが証明書を失効させる。ブラウザはCRL（証明書失効リスト）やOCSP（オンライン証明書状態プロトコル）で失効確認をするんだ。ただしこの確認が完全には機能しないケースもあり、業界全体の課題として議論が続いているよ。