昨今この業界( IT / Web 系)では、常時 SSL 化が当たり前となっています。しかし、常時 SSL とは何?、SSL 証明書とは何?と聞かれたときに上手く説明できますでしょうか。
当記事では、なぜ常時 SSL が求められているのか、証明書の DV、OV、EV とは何か、暗号化強度に違いはあるのかなど、説明いたします。
目次
「Webサイトからお問い合わせが来ない…」とお悩みの方必見!
当サイトのノウハウを詰め込んだ『Web集客の無料ガイド』をご提供
SSL (Secure Sockets Layer) とは
SSL (Secure Sockets Layer) とは、インターネット上の通信を暗号化する仕組みです。
「 SSL/TLS (Transport Layer Security) 」などと表記されることもありますが、一般的に呼ばれている SSL と同じ意味です。
SSL は、インターネット上の通信を暗号化するための仕組みです。通信を暗号化することで端末とサーバー間の盗聴や、改ざんができなくなります。
少し前の Web では、個人情報や、クレジットカード番号を入れるようなサイトに対して SSL を導入していました。
しかし昨今では、個人情報を取り扱わないようなサイトでも SSL を導入する、通称「常時 SSL 」化が進んでいます。
常時 SSL 化については、こちらの記事でも解説しています。あわせてお読みください。
▼http から https にリダイレクト、www 有無のリダイレクト方法(mod_rewrite)
常時 SSL が求められる理由
ひと昔前までは、クレジットカード番号や個人情報などの重要な情報のやり取りのページのみ SSL を利用するのが一般的でした。
この時代は、「情報が改ざんされる」ことや「通信を覗き見される」ことなどの危険と常に隣り合わせでした(盗聴や改ざんは、国家レベルでも起きているといわれています)。
それが昨今では、インターネットをより安全に、安心して利用できるように、個人情報などを送受信するサイトはもちろんのこと、情報を発信しているだけのサイトも常時 SSL が求められるようになりました。
これらの時代背景から、各 Web ブラウザベンダーでは、2017年から徐々に非 SSL サイトに対して、警告を出すようになってきています。
ついに Chrome ブラウザは、2018年7月より、全ての http サイト(非 SSL )に対して警告がでるようになり、さらに2018年9月より警告がより目立つように赤色で警告されるようになりました。
関連記事(外部サイト)
「Google Chrome 62」が正式版に ~ HTTP 接続のフォームはすべて“非セキュア”扱いへ
「Chrome 68」から全 HTTP サイトに警告表示へ--7月リリース
安全性を示す HTTPS のラベルとアイコンがGoogle Chrome 69から削除、一方で非 HTTPS ページでは赤色反転で危険性を強調
SSL 証明書とは
SSL 証明書とは、Web サイトの運営者が存在していること(実在性)を確認し、ブラウザとサーバーの間でやりとりされるデータの暗号化を行う電子証明書のことです。 SSL サーバー証明書とも呼ばれます。
盗聴や改ざん防止のために、常時 SSL が世の流れとして必要とされてきました。それ以外にも SSL 導入のメリットがありますので、もう少し見ていきましょう。
SSL導入のメリット
- 通信の暗号化(改ざん、盗聴防止)
- ドメイン名や、会社の実在証明ができる
SSL を導入すると通信の暗号化の他に、ドメイン名が正しいか、Web サイトを運営している会社は正しいかを証明することができます。
これらドメイン名が正しいか、Web サイトを運営している会社は正しいかを確認するために SSL 証明書が必要です。
SSL 通信を行うメリットの一つに、ドメイン名や会社を証明することができます。証明を行うには、Web サーバーに SSL 証明書を設置する必要があります。
その証明書を元に「私はXXX◯◯◯△△△です」と名乗ることができます。
そして提示された証明書「XXX◯◯◯△△△」が正しいのかを、証明する第三者機関が認証局(デジサート、サイバートラストなど)です。
DV、OV、EV の違い
ドメイン名や、会社を証明するためには SSL 証明書が必要ですが、この SSL 証明書には DV、OV、EV の種類があります。簡単に言うと、会社を証明するための認証方法の違いによって種類が異なります。それぞれの違いについて詳しくみてみましょう。
| 種類 | 認証方法 | 認証レベル |
|
DV(ドメイン認証) |
ドメイン認証 |
低 |
|
OV(実在証明型) |
・ドメイン認証 ・会社実在認証(会社名、所在地) |
中 |
|
EV(実在証明拡張型) |
・ドメイン認証 |
高 |
ドメイン認証 (DV)
ドメイン認証 (DV) は、ドメイン名が正しいかどうかを認証します。
確認方法ですが、CPI のお客様で岡山の制作会社「 CODE54 (https://www.code54.net/) 」を参考に見てみましょう。
(クリックで拡大)
アドレスバーの横に「保護された通信」と書かれていると SSL で保護された通信中です。
証明書を確認するには「保護された通信 > 証明書」をクリックすると、このサイトで使われている SSL 証明書の詳細を確認することができます。
表示された証明書の「サブジェクト名」に表示されているものが、第三機関により証明されている情報です。
この場合「 www.code54.net 」は正しいということが証明されています。
実在証明型 (OV)
実在証明型 (OV) とは、ドメイン名に加え、会社名も証明します。
次は Google (www.google.co.jp) の証明書を見てみましょう。
証明書を確認すると、ドメイン名に加えて、所在地 (Moutain View) や、会社名 (Google LLC) を確認することができるため、サイト運営のなりすましを防ぐことができます。
たとえば KDDI であれば下記のようなドメインが考えられます。
https://kddi.co.jp
https://kddi.jp
https://kddi.com
https://kddi.biz etc ....
この中のドメインで、どれが本当の KDDI 株式会社のドメインか、URL からでは分かりません。
それを証明してくれるのが実在証明型 (OV) の証明書です。
実在証明拡張型 (EV)
通称 EV (Extendit Validation) 証明書は、 DV 、 OV で行う認証に加えて電話での実在確認や会社の状況の確認が行われるため、より厳格な審査を受けてから発行されます。
発行された証明書はドメイン名、実在証明を行い、アドレスバーに組織情報が表示されるようになるのです。
これによりフィッシング詐欺などを防ぐことが可能となり、ユーザーの信頼につながります。オンラインでのビジネス展開を行なっている企業にとって、 EV 証明書は効果的な証明書となるのでしょう。
DV、OV、EV の暗号化強度の違い
上記で紹介した DV、OV、EV の証明書は種類によって暗号化強度の違いがあるか?とよく聞かれます。
答えは、証明書の種類によって暗号化強度の違いはありません。
ですので、ユーザー(サイトの閲覧者)に対して何を証明したいかによって、導入する SSL 証明書を変えれば良いと考えています。
例えば個人情報を扱うようなサイトでは、信用も大事ですから、会社の実在証明をする OV、EV など。例えばこれまで SSL は導入していなかったが、世の流れ的に導入を検討しているサイトは、DV でよいと思います。
| 種類 |
認証レベル |
暗号化強度 |
|
DV(ドメイン認証) |
低 |
同じ |
|
OV(実在証明型) |
中 | |
|
EV(実在証明拡張型) |
高 |
さいごに
Chrome では、全ての非 SSL サイトに対して、2018年7月から警告が出るようになりました。それにも関わらず、いまだに SSL 対応ができていないサイトも少なくありません。SSL の導入により、通信の安全が確保され、さらにサイトの信頼性も向上します。
これらの動きをきっかけにSSL の導入は一般化しています。SSL 証明書によって証明できることの違いなどはお客様にしっかり説明できるようにしておきたいですね。
SSL 証明書の種類によっては、サイトの脆弱性診断もセットになっている証明書もあります。通信の暗号化に加えて、脆弱性診断もセットなっているのは、サイト運営者として安心ですね。
レンタルサーバーの CPI では、デジサートやジオトラスト、セコム、CPI 独自の SSL など各社 SSL を多数取り扱っておりますので、ぜひご検討ください。
