SSLでウェブサーバにつながるとき、訪問客のブラウザはどの証明書認証局 (CA) が実際のSSL証明書を発行したのかについて、ウェブサイトのSSL証明書を信頼するべきかどうか決めます。これを決定するために、ブラウザは権限を公表して信頼されたルート証明書のリストを調べます。（ブラウザ・ベンダー（例えばマイクロソフトとネットスケープ）によって、ブラウザに加えられる信頼されたルートCA証明書の集合によって表示されます。
ほとんどのSSL 証明書は、信頼されたルートCA 証明書を所有したCAから発行されます。主要なCAが信頼された発行機関としてブラウザーベンダーに知られているように、その信頼されたルートCA証明書はすべてのポピュラーなブラウザーに既に登録されており信頼されています。このような SSL 証明書は「シングルルート(単一のルート)」SSL 証明書で知られています。

Comodoようないくつかの CAは、ブラウザーの中に存在する信頼されたルートCA証明書を持っていません。そのような証明書が信頼されるためには「つながれたルート」を必要とします。(本来、信頼されたルートCA 証明書を持ったCAは信頼されたルートCAからブラウザー認識を「継勝した」「つながれた」 証明書を発行します。)このようなSSL証明書は 「ルートを鎖でつながれた」SSL 証明書として知られています。

「ルートを鎖でつながれた」SSL証明書を設置する事はもっと複雑であり、いくつかのウェブサーバーは 「ルートを鎖でつながれた」SSL認証書と互換性を持ちません。

ですから、証明書認証国(CA)にとって、ブラウザーの中に既に存在する信頼されたルートを持ってるという事はブラウザーベンダー(マイクロソフトとネットスケープのような)と長期的な関係を結んでいる安定的で信じられる組職だという明白な証拠になります。このような理由のため、そのようなCAは、ブラウザーベンダーとの直接的な関係を持っていない「ルートを鎖でつながれた」SSL証明書供給者より信頼でき、安定しています。

ブラウザーに含まれた独自ルート証明書を持つ証明書認証国(CA)のリストを確認 できます。

「ルートを鎖でつながれた」SSL証明書はそのルート証明書をウェブサーバーに設置する追加の作業が必要となりますが、シングルルートSSL証明書はこのような手間がかかりません。

一般的なQ&A

SSL証明書 比較