SSLサーバ証明書とは
SSLサーバ証明書とは、Webサイトの安全性を証明し、通信内容を暗号化するための電子証明書です。
例えば、クレジットカード情報やログイン情報など、個人情報を入力する場面では、通信内容が第三者に盗まれたり改ざんされたりするリスクがあります。SSLサーバ証明書を導入することで、こうした情報を安全にやりとりできるようになります。
SSL/TLSとは
SSL(Secure Sockets Layer)とTLS(Transport Layer Security)は、インターネット通信を暗号化して安全にする技術です。
TLSはSSLの後継規格で、より強固な暗号方式と安全性を備えています。現在はTLSが主流ですが、「SSL」という名称のほうが広く浸透しているため、総称として「SSL/TLS」と呼ばれることもあります。どちらも盗聴や改ざんを防ぐ役割があります。
SSLサーバ証明書の役割
SSLサーバ証明書の主な役割は次の通りです
- ■通信の暗号化
- Webサイトとユーザー間の通信内容(例:ログイン情報や個人情報)を暗号化し、第三者から読み取れないようにします。
- ■Webサイトの実在証明
- 証明書にはWebサイトの運営者情報が記載されており、「このサイトは本物である」と証明します。これによりフィッシング詐欺対策にもなります。
- ■ブラウザでの信頼表示
- SSLサーバ証明書が正しく導入されたサイトは、ブラウザのアドレスバーに鍵マークが表示され、ユーザーに安心感を与えます。
SSLサーバ証明書の仕組み
SSL通信では「公開鍵暗号方式」という仕組みが使われており、安全な情報のやり取りを実現します。流れは以下のとおりです。
- 1. ユーザーがWebサイトにアクセスすると、サイトは公開鍵とSSLサーバ証明書を送ります。
- 2. ユーザーはこの公開鍵を使って、送信するデータを暗号化します。
- 3.暗号化されたデータがサイトに送られます。
- 4.サイトは、自分だけがもっている秘密鍵(復号鍵)でデータを復号し、内容を確認します。
- 5.このとき、SSLサーバ証明書により「サイトが本物のサイトであること」も同時に証明されます。
このようにSSLサーバ証明書は、「通信の暗号化」と「サイトの正当性証明」という2つの重要な役割を担っています。
SSLサーバ証明書の種類
続いて、SSLサーバ証明書の種類を3つ紹介します。
ドメインの使用権を認める「ドメイン認証型」
ドメイン認証型SSLサーバ証明書は、SSL/TLSの暗号化に特化しており、ドメインの使用権の有無だけを認証します。発行の条件が少ないため、ほかの証明書よりも短期間・低価格で取得できます。
しかし、ドメインを所有していれば取得でき、Webサイトの実在性は審査項目に含まれていません。そのため、「なりすまし」や「フィッシング詐欺」などの対策としては不十分です。
企業の実在を認める「企業認証型」
企業認証型SSLサーバ証明書とは、Webサイトの運営者の実在を確認してから発行される証明書です。ドメインの使用権に加えて企業の実在まで証明するため、ドメイン認証型よりも安全性は高くなります。
この証明書の発行時には、第三者機関が電話などネットを利用しない方法で確認を行っています。そのため、信頼性は高いですが審査に落ちる可能性も十分に考えられ、取得するまでに時間がかかるのが欠点です。
第三者データベースに照会された「EV認証型」
もっとも信頼性が高いSSLサーバ証明書が「EV認証型SSLサーバ証明書」です。基本的には企業認証型SSLサーバ証明書と同じですが、審査がより厳格です。主に国際的なセキュリティ会社や調査機関が、EVガイドラインに基づいて確認を行います。
また、このEV認証型SSLサーバ証明書に対応していると、Webサイト上で運営組織名が表示されるため、ユーザーに安心感を与えます。
SSLサーバ証明書を導入するメリット
SSLサーバ証明書を導入すると、どのようなメリットが得られるのでしょうか。
盗聴を防げる
一般的なサーバ間の通信は、悪意がある者によって内容が盗み見られる可能性があります。例えば、認証に必要なID・パスワード、クレジットカードの暗証番号などが盗聴されると悪用される可能性が高いです。
また、ECサイトであれば氏名や住所、電話番号といった個人を特定できる情報まで外部に漏れる可能性があります。そこで、SSL暗号化通信によりデータを保護することで、このような盗聴被害を防ぐことが可能です。
なりすましを防げる
なりすましとは、奪ったIDやパスワードを悪用して、該当するアカウントになりすますことです。SSL暗号化通信を行っていれば、悪用する相手に情報が漏れにくくなるため、予防できます。
また、最近ではフィッシング詐欺に使われる偽サイトも増えています。この偽サイトは本物の公式サイトになりすまし、個人情報を盗むことが目的です。当然、偽サイトは認証局から認められないためSSLサーバ証明書は発行されません。
このようにSSLサーバ証明書の有無で危険なサイトかどうか判断できるのです。
Webサイトの改ざんを防げる
Webサイトの改ざんとは、不正アクセスによりサーバ間のデータ通信内容を途中で書き換えることです。それにより、サイトに表示されている文章や画像を勝手に変えてしまうことができます。
もしサイトが改ざんされてしまえば、真実ではない情報が公開されるため、サイトの信頼度は落ちてしまいます。ほかにも、悪質なウイルスに感染するようなWebサイトへのリンクを設置することも可能です。自社サイトのユーザーがこのようなウイルスの被害に遭えば、さらに自社への不信感が高まってしまうでしょう。
SSLサーバ証明書を利用していれば、通信が暗号化されているため改ざんなどの不正アクセスを防げます。
SSLサーバ証明書の導入方法
最後に、SSLサーバ証明書を導入する一般的な流れを見ていきましょう。
- 1.認証局にアクセス
- SSLサーバを導入するには、認証局に依頼する必要があります。インターネットで検索すれば多くの認証局が出てくるため、アクセスしましょう。
- 2.種類の選択
- SSL証明書の種類を選択します。先述したように3種類あるため、自社に適したものを選択しましょう。
- 3.申し込み
- 登記簿謄本などの書類を用意し、申し込みます。
- 4.審査~発行
- 申し込み後は審査が行われ、合格すればSSLサーバ証明書が発行されます。
- 5.インストール
- 受け取ったSSLサーバ証明書をサーバにインストールします。
- 6.料金支払い
- 料金を支払うタイミングは認証局によって異なりますが、料金支払いとインストールを終えればSSLサーバ証明書を利用できます。
まとめ
SSLサーバ証明書には、通信を暗号化する役割とWebサイトの信頼性を証明する役割があります。サイトの種類や目的に応じて、ドメイン認証・企業認証・EV認証といった証明書を使い分けることが重要です。自社に最適なSSL証明書を導入するには、それぞれの違いや特徴を理解したうえで比較検討しましょう。
