レンタルサーバー初心者のためのSSLサーバー証明書講座

 

なりすましサイトやフィッシングサイトなど、インターネット利用者は、さまざまなリスクにさらされており、企業は自社のWebサイトが安心して利用できる信頼性の高さを保証することを切実に迫られるようになりました。その最も基本となるのがSSLの導入です。

1.SSLってなに?

SSLとはSecure Sockets Layerの略で、インターネットなどのネットワーク上でデータを暗号化して送受信を行う仕組みです。
SSLは1990年代中頃に開発され、その後何度かバージョンアップを繰り返し、現在はそれを改良した次世代の規格であるTLS(Transport Layer Security)に役割が引き継がれています。

TLSはSSLを継承したもので、現在はこれらを総称してSSL/TLSと呼ぶことが多く、またSSLと呼んでいる場合でも実際はTLSを指すことがほとんどです。
ここではSSLといった場合、SSL/TLSのことを指すものとします。
通常、Webサイトの住所を表すURLは「http」から始まりますが、SSLが導入されているWebサイトは「https」から始まります。

2.SSLサーバー証明書があるとどうなるの?

SSLによる通信の暗号化で、第三者からの盗聴・改ざんを防ぐことが可能です。これによりECサイトなどでは、個人情報やクレジットカード情報などの重要なデータの通信を安全に行うことができます。

かつて、SSLは「ユーザーがECサイトで商品購入時に、情報を暗号化するために利用するもの」というイメージでしたが、近年では状況が違ってきています。常時SSL化と言って、企業ホームページなどの個人情報を取り扱うことのないWebサイト内のすべてのページでも、SSLを導入することを指し、常時SSL化を行うWebサイトが増えてきています。
また、閲覧しているWebサイトが目的の企業のWebサイトであることを証明するための手段として実在証明型のSSLを導入して、常時SSL化を行うWebサイトもあります。

さらに、WebブラウザのChromeはSSL非対応なWebサイトに対して、警告を出すようになってきており、多くの企業は自社Webサイトの常時SSL化を採用するようになってきました。

3.SSLサーバー証明書の種類は大きく分けて3つ

SSLサーバー証明書にはDV、OV、EVの3つの種類が存在します。

DVはドメイン認証型のことで、ドメイン名を所有している名義を元に発行されるSSLサーバー証明書です。
DVは組織情報の確認を受けずにSSLサーバー証明書を発行できるため、組織情報が記載されず、組織の実在性は不透明なものとなります。
つまり、DVを採用しているWebサイトは通信の暗号化はしてくれますが、企業の実在性を保証しているという訳ではないのです。

これに対し、OVとは企業認証型のことで、別名実在証明型などとも呼ばれます。
OVは申請した企業の組織情報の審査が必要なSSLサーバー証明書となり、認証局がその企業が実際に存在するかどうか、確認が行われた後に証明書が発行されます。発行される証明書に記載の組織情報は偽装ができないため、Webサイト運営者のなりすまし防止が可能です。
しかし、WebブラウザからそのWebサイトの運営企業が簡単に確認できないため、ユーザー視点ではDVとOVの区別は困難です。

最後のEVは実在証明拡張型と言われるもので、前述のOVよりもさらに厳格な審査を通過したものです。クレジットカード情報などの重要な情報の入力を必要とするWebサイトや金融機関、Webサイトのブランドや安全性をアピールしたいWebサイトに多く導入されています。
EVを導入したWebサイトはWebブラウザのアドレスバーが緑色となり、信頼に値するWebサイトであることをユーザーに分かりやすい形で示してくれます。
これは主要なWebブラウザすべてで共通であり、「アドレスバーが緑色=このWebサイトは信用できる」という安心の証になるのです。

SSLサーバー証明書比較表

種別 暗号化通信 企業の実在性を認証 アドレスバーが緑色
DV
OV
EV

 

4.SSLサーバー証明書の選び方

どのSSLサーバー証明書を選ぶかはウェブサイトの利用用途から判断します。
■DV
重要情報(個人情報やクレジットカード番号等)を入力しない、誰が運営しているかを確認する必要のないWeb サイトに適しています。例えば個人ブログや掲示板などです。
■OV
公開する情報に信頼性を持たせる必要がある、個人情報など一般公開したくない情報の入力が必要であるWebサイトに適しています。例えばコーポレートサイト、ニュース・情報検索、ソーシャルメディアサイトなどです。
■EV
クレジットカード番号や口座番号など金銭のやり取りに必要な情報を入力するWeb サイトに適しています。例えばネットショッピングサイト、インターネットバンキングサイト、オンライン証券サイトなどです。

まとめ

気をつけなくてはならないのは、SSLサーバー証明書の種類がセキュリティ性能の違いを意味するものではない、という点と、SSLサーバー証明書のWebサイトへの導入が進む一方で、「SSLサイト = 100% 安全なサイト」ではないという事実です。
かつては企業のインターネット上の看板という役割が主だったWebサイトも、徐々にその企業の信用度合いを表すものとなりつつあるのです。企業の信用性・信頼性の高さを示すためにも、SSLサーバー証明書を導入する際には、適切な種類のSSLサーバー証明書を選びましょう。
 

 

関連タグ:

この記事をシェアする

次へ
前へ