TOP
連載一覧
@IT Special
セミナー
eBook
ブログ
アットマーク・アイティ ITエキスパートのための問題解決メディア
Loading
@IT総合トップ >
@ITspecial
Tweet
このエントリーをはてなブックマークに追加

pr
ウチのSSL証明書が証明するのは……

「ドメイン認証型」と「企業認証型」
2種類のSSL証明書、さあどっちを選ぶ?
安全なインターネットライフに不可欠な錠のマーク、これはSSL証明書により通信が暗号化されている証しだ。実はこのSSL証明書、役割により2つの種類があることをご存じだろうか?
   

「SSLだからセキュリティもバッチリでしょ?」

 インターネットでお買い物、インターネットで振込、残高照会……これらはすでに当たり前の時代になった。そこでは「安全のため、南京錠のマークが表示されているかを確認しましょう」ということもほぼ“常識”だ。錠や鍵のマーク=安全、安心という図式、しかし、いったいなぜ安全、安心なのだろうか?

 この錠や鍵のマークは、SSLプロトコルでサーバと通信しているという意味だ。SSL(Secure Sockets Layer)とは電子証明書を用いた、暗号化通信の仕組みだ。通信している相手以外の第三者からは通信が傍受できないようになっていることの証明として、錠や鍵のマークが表示される。だから安全、安心なのだ。

【関連記事】
 5分で絶対に分かるPKI
http://www.atmarkit.co.jp/fsecurity/special/02fivemin/fivemin00.html

   

怪しいサーバと暗号化通信してない?

 さて、ここで1つ知っておきたいことがある。SSLとは「通信している相手以外に傍受できないよう、暗号化されている」のだが、その「相手」とは誰なのだろうか? もう一歩踏み込んで考えると「正しい相手と」暗号化通信ができているかは重要なポイントだ。

 特に近年では本物そっくりの偽サイトを立ち上げ、ログイン情報を盗み出すようなフィッシング詐欺が横行している。フィッシング詐欺を行う悪意ある犯罪者が、悪意あるサイトにSSL証明書を用意したら、錠のマークが表示され、“悪意あるサイトとの”暗号化通信が成立する可能性がある。

 イントラネットや拠点間通信など、相手が確実に存在し、1対1で通信が行われる場合であればここまで考慮する必要はないかもしれない。しかし、ECサイトなどインターネット上の不特定多数間の関係であるのであれば、このような問題をクリアし、正しく「安全」に使ってもらう必要があるのだ。

 では、どのように問題をクリアすればよいのか――この不安を解消するのも、やはりSSL証明書だ。

   

1種類だけじゃなかった!
目的に合わせた正しいSSL証明書を

 SSL証明書は1種類ではなく、大きく分けて3つが存在する。1つはドメイン認証型証明書、1つは企業認証型証明書、そしてEV SSL証明書だ。一般的に利用されるのは「ドメイン認証型証明書」と「企業認証型証明書」の2つ。この違いは、その認証プロセスを見るとすぐに理解できるだろう。
「ドメイン認証型証明書」と「企業認証型証明書」の認証プロセスの違い
企業認証型証明書では発行までに人手による認証が行われる。第三者データベースに基づく、インターネットを経由しない「電話での確認」が行われるため、認証が厳密だ。
一方、ドメイン名登録名義の確認はシステムによって機械的に行われるので発行までが早い。

 結論からいうと、フィッシング詐欺を防止するために「正しい相手である」ことまで証明できるのは「企業認証型証明書」だ。ただしイントラネットなど、不特定多数との通信を想定しないのであれば「ドメイン認証型証明書」で十分だ。これらの違いはFirefoxであれば右下に表示される錠のマーク、Internet Explorerであればアドレスバーにある錠のマークをクリックすると表示される証明書の詳細設定で確認できる。

 主流の企業認証型のSSL証明書を利用している場合、証明書の中に「組織」「部門」情報が格納されているため、いま見ているサイトが本当に正しい相手なのかを判断できる。公開されているウェブサイトなど、暗号化通信だけでなく企業が存在していること、自分が正しい相手であると証明することも必要である場合は、例えばベリサインが発行している企業認証型証明書が選択肢となる。
「企業認証型証明書」では企業、組織情報が表示される

 先に述べたように、決まった通信相手との暗号化通信ができればよいのであれば、ドメインが存在していることを基にした証明書を発行してもらうだけでもいいだろう。この場合は短期間、低コストをうたう、日本ジオトラストのドメイン認証型証明書「ジオトラスト クイックSSL プレミアム」が適している。この場合は、証明書の中に企業名が記載されず、そのSSL証明書はドメイン名の登録確認のみで取得されたSSL証明書だと分かる。
「ドメイン認証型証明書」では企業、組織情報はなく、ドメイン情報が表示される

SSL証明書、それぞれの特徴

 なお、企業認証型のSSL証明書の一種で、重要な証明書情報をブラウザのアドレスバーにて緑色などでユーザに視覚的に分かりやすく表示するのが、日本ベリサインが提供するEV SSL証明書だ。これについては「5分で絶対に分かるEV SSL証明書」を参照してほしい。

 信頼で選ばれるウェブサイトになるためにも、効率的な運用を行うためにも、SSL証明書は正しく選択すべきだろう。

提供:日本ジオトラスト株式会社
アイティメディア営業企画
制作:@IT 編集部
掲載内容有効期限:2009年11月17日

関連リンク
 
日本ジオトラスト
 
日本ベリサイン

関連記事
  ICON 5分で絶対に分かるPKI
PKIの分かりにくさは、主に複数の技術の組み合わせであることと、インフラであるがゆえのつかみどころのなさに起因する。わずか5分でその疑問をすっかり解決
  ICON 5分で絶対に分かるEV SSL証明書
鍵のマークが表示されても、「オレオレ証明書」じゃ意味がない! 緑のマークの「EV SSL証明書」で安全が確保できる理由を5分で解説します
  ICON 5分で絶対に分かるフィッシング詐欺
フィッシング詐欺の被害は拡大しています。自衛のための簡単な基礎知識と、だまされてしまった場合の対処方法を5分で解説します

@ITトップ|@IT Special インデックス|会議室|利用規約|プライバシーポリシー|サイトマップ


Copyright © ITmedia, Inc. All Rights Reserved.