今さら聞けないSSL証明書とは、DV、OV、EVとは、常時SSLについて

昨今この業界(IT/Web系)では、常時SSL化が話題になっていますが、常時SSLとは何?、SSL証明書とは何?と聞かれたときに上手く説明できますでしょうか。
当記事では、なぜ常時SSLが求められているのか、証明書のDV、OV、EVとは何か、暗号化強度に違いはあるのかなど、説明させていただきます。

 

目次

 

SSLとは

 

SSLとは、インターネット上の通信を暗号化する仕組みです。
表記としては「SSL/TLS」などと表記されることもありますが、一般的に呼ばれているSSLと同意です。

 

 

SSLは、インターネット上の通信を暗号化するため仕組みです。通信を暗号化することで端末とサーバー間の盗聴や、改ざんができなくなります。

少し前のWebでは、個人情報や、クレジットカード番号を入れるようなサイトに対してSSLを導入していました。
しかし昨今では、個人情報を取り扱わないようなサイトでもSSLを導入する、通称「常時SSL」化が進んでいます。

 

常時SSLが求められる理由

 

ひと昔前までは、クレジットカード番号や個人情報などの重要な情報のやり取りのページのみにSSL利用が一般的でした。
この時代は、「情報が改ざんされる」ことや「通信を覗き見される」ことなどの危険と常に隣り合わせでした。(盗聴や改ざんは、国家レベルでも起きていると言われています。)

インターネットをより安全に、安心して利用できるように、個人情報などを送受信するサイトはもちろんのこと、情報を発信しているだけのサイトも常時SSLが求められるようになりました。

これらの時代背景から、各Webブラウザベンダーでは、2017年から徐々に非SSLサイトに対して、警告を出すようになってきました。
ついにChromeブラウザは、2018年7月より、全てのhttpサイト(非SSL)に対して警告がでるようになり、さらに2018年9月より警告がより目立つように赤色で警告されるようになります。

関連記事(外部サイト)

「Google Chrome 62」が正式版に ~HTTP接続のフォームはすべて“非セキュア”扱いへ

「Chrome 68」から全HTTPサイトに警告表示へ--7月リリース

安全性を示すHTTPSのラベルとアイコンがGoogle Chrome 69から削除、一方で非HTTPSページでは赤色反転で危険性を強調

 

SSL証明書とは

 

盗聴や改ざん防止のために、常時SSLが世の流れとして必要とされてきました。それ以外にもSSL導入のメリットがありますので、もう少しみていきましょう。

SSL導入のメリット

・通信の暗号化(改ざん、盗聴防止)
・ドメイン名や、会社の実在証明ができる

SSLを導入すると通信の暗号化の他に、ドメイン名が正しいか、Webサイトを運営している会社は正しいかを証明することができます。
これらドメイン名が正しいか、Webサイトを運営している会社は正しいかを確認するためにSSL証明書が必要です。

SSL通信を行うメリットの一つに、ドメイン名や会社を証明することができます。証明を行うには、WebサーバーにSSL証明書を設置する必要があります。

その証明書を元に「私はXXX◯◯◯△△△です」と名乗ることができます。
そして提示された証明書「XXX◯◯◯△△△」が正しいのかを、証明する第三者機関が認証局(シマンテック、サイバートラストなど)です。

 

DV、OV、EVの違い

 

ドメイン名や、会社を証明するためにはSSL証明書が必要ですが、このSSL証明書には種類があります。
その種類がDV、OV、EVです。

 

ドメイン認証(DV)

ドメイン認証(DV)とは、ドメイン名が正しいかどうかを認証します。

確認方法ですが、CPIのお客様で岡山の制作会社「CODE54(https://www.code54.net/)」を参考に見てみましょう。


(クリックで拡大)

アドレスバーの横に「保護された通信」と書かれているとSSLで保護された通信中です。
証明書を確認するには「保護された通信 > 証明書」をクリックすると、このサイトで使われているSSL証明書の詳細を確認することができます。

表示された証明書の「サブジェクト名」に表示されているものが、第三機関により証明されている情報です。
この場合「www.code54.net」は正しいということが証明されています。

 

実在証明型(OV)

実在証明型(OV)とは、ドメイン名に加え、会社名も証明します。

次はGoogle(www.google.co.jp)の証明書を見てみましょう。

証明書を確認すると、ドメイン名に加えて、所在地(Moutain View)や、会社名(Google LLC)を確認することができます。
サイト運営のなりすましを防ぐことができます。

たとえばKDDIであれば下記のようなドメインが考えられます。

https://kddi.co.jp
https://kddi.jp
https://kddi.com
https://kddi.biz  etc ....

この中のドメインで、どれが本当のKDDI株式会社のドメインか、URLからでは分かりません。
それを証明してくれるのが実在証明型(OV)の証明書です。

 

実在証明拡張型(EV)

通称EV証明書は、DV、OVよりも厳格な審査を受けてから発行されます。
発行された証明書は、ドメイン名、実在証明を行います。

さらにアドレスバーに、組織情報が表示されるようになります。

 

暗号化強度の違い

 

上記では3種類の証明書を紹介しました。これら証明書の種類によって暗号化強度の違いがあるか?とよく聞かれます。
答えは、証明書の種類によって暗号化強度の違いはありません。

ですので、ユーザー(サイトの閲覧者)に対して何を証明したいかによって、導入するSSL証明書を変えれば良いと考えています。
例えば個人情報を扱うようなサイトでは、信用も大事ですから、会社の実在証明をするOV、EVなど。例えばこれまでSSLは導入していなかったが、世の流れ的に導入を検討しているサイトは、DVで良いと思います。

 

さいごに

 

Chromeでは、全ての非SSLサイトに対して、2018年7月から警告がでるようになります。それにも関わらず、多くのサイトがSSL対応できていません。( CPIスタッフブログもまだ^ ^; )
SSLの導入により、通信の安全が確保され、さらにサイトの信頼性も向上します。
これらのことから、SSLの導入は、さらに加速すると考えられますので、SSL証明書によって証明できることの違いなどはお客様に、しっかり説明できるようしておきたいですね。

SSL証明書の種類によっては、サイトの脆弱性診断もセットになっている証明書もあります。通信の暗号化に加えて、脆弱性診断もセットなっているのは、サイト運営者として安心ですね。

レンタルサーバーのCPIでは、シマンテックや、セコムなど各社 SSLを多数取り扱っておりますので、ぜひご検討ください。

 

 

関連記事

 

人気記事です!!
今さら聞けないレンタルサーバーのサービス種類を分かりやすく解説しました

 

 

この記事をシェアする:

Author
この記事を書いた人:阿部 正幸

KDDIウェブコミュニケーションズ
クラウドホスティング事業本部 エバンジェリスト

CPIスタッフブログ編集長。ACE01,SmartReleaseをリリース後、現職の「エバンジェリスト」として、web制作に関する様々なイベントに登場

Line@登録よろしくお願いします

Web制作に関する情報や、CPIノベルティのプレゼント、サーバーの無償提供などを定期的に発信しています。
ぜひ、登録ください。