Public Key Infrastructureは通信している相手が「本物」であるかどうかを確かめるために行われる。X.509証明書は公開鍵証明書の標準(RFC3280)である。

PKI（後編）---X.509証明書とPKIの仕組み | 日経 xTECH（クロステック）

1. まず、サーバにCertification AuthorityがX.509証明書を発行する。この証明書の隅に書いてある署名値は証明書のハッシュ値をCAの秘密鍵で暗号化したもので、CAの公開鍵で復号できる。
2. クライアントがサーバにアクセスした際にX.509を要求し、サーバはサーバ証明書を渡す。
3. クライアントはこのサーバ証明書を手に入れたら、CAの公開鍵を用いてそのX.509証明書の端に書いてある署名値を復号する。復号した署名値はサーバ証明書のハッシュ値になるはず。
4. また、証明書に書いてあるハッシュ関数、暗号化方式を用いてサーバ証明書のハッシュ値を作成

このプロセスにより、

• CAの公開鍵で復号できるので、サーバ証明書はCAの秘密鍵で暗号化されたもの
• サーバ証明書のハッシュ値が一致するので改ざんされていない

であるということがわかる

誰かがいっていたけど、HTTPSはPKIとSSLがくっついているもの。それぞれ別のものだけが欲しい人もいるんじゃないかな。