SSLサーバ証明書は、接続先の相手が信頼できるか否かを見極めるために広く使われている有力な手段です。サーバ証明書には認証局の署名が付いており、サイトの信頼度をさまざまなレベルで保証してフィッシング詐欺サイトの被害を防ぎます。この記事では、SSLサーバ証明書の仕組みをおさらいするとともに、「ドメイン認証タイプ」「企業実在認証タイプ」「EV認証タイプ」の3種類のそれぞれの役割を理解し、用途別に最適なSSLサーバ証明書を選ぶポイントについて解説します。

SSLサーバ証明書の仕組みをおさらいしよう

SSLサーバ証明書の仕組みを解説する前に、SSLで出てくる「証明書」について簡単に整理します。

SSLサーバ証明書は、クライアントからの接続先であるWebサーバが本物であるかどうか確認するための証明書です。
「サーバ証明書」には「サーバ運営者の組織名」「認証局の組織名」「証明書の有効期限」「サーバの公開鍵」などの情報が書き込まれています。そして認証局の署名が付いており、「サーバ証明書」では、これらの証明書の内容をハッシュした値を認証局の秘密鍵で暗号化するという仕組みを使っています。

しかし、仕組み自体はセキュアであっても、その署名を施した認証局がそもそも信頼できるのかが大切になってきます。電子証明書は知識さえあれば誰でも発行することができますので、信頼のおけない機関が発行する証明書を使いながら、SSL通信を実現することもできてしまいます。

これを防ぐためには、証明書の正当性を検証するために使用されるルート証明書が必要です。しかしアクセスのたびに階層構造の根幹までさかのぼり、信頼できる認証局から発行されている電子証明書であるかを判断するのは非常に手間がかかります。そのため、代表的なWebブラウザでは厳しい監査基準を満たした認証局(CA)のルート証明書があらかじめインストールされており、ソフトウェアの利用を通して意識することなく電子証明書の信頼性を確認できるようにしています。

また、こうした基本的な信頼性をルート証明書によって保証されたサーバ証明書自体も、信頼性の度合いによってさらに3種類に分かれています。

サーバ証明書の種類と役割について整理しよう

サーバ証明書には、「ドメイン認証タイプ」「企業実在認証タイプ」「EV認証タイプ」の3種類がありますので、それぞれの役割について解説します。

ドメイン認証タイプ

ドメイン認証タイプとは、その名の通り認証対象をドメインに限定し、サーバ証明書を申請する「企業の組織情報」を審査対象から外しています。証明書に記載のあるドメイン(URL)の使用権はありますので、接続元のクライアントは証明書やサイトに掲載されたシールに記載されたアクセス先を知ることができますが、そのサーバ証明書を使っている企業の実在性は証明されません。

企業実在認証タイプ

ドメイン認証タイプで審査の対象から外されていた「企業の組織情報」を審査対象にして「企業実在認証」を行います。「企業実在認証」とは、証明書に記載される組織が法的に存在すること、またその組織が証明書に記載されるドメインの所有者であることを認証するものです。この審査プロセス通過していますので、接続元のクライアントは証明書やサイトに掲載されたシールを確認することで、自分がアクセスしたURLを運営している実在の組織情報を知ることができます。

EV認証タイプ

EV(Extended Validation)認証タイプでは、「CA/ブラウザフォーラム」という主要なブラウザベンダーと認証局で構成される団体が策定した「EVガイドライン」に基づき、実在性の確認を厳格に行います。この厳格な審査にパスした組織のSSLサーバに接続すると、Internet Explorer 7.0以降やFirefox、Safari、Google Chromeなどのブラウザでアドレスバーが緑色になり、そのウェブサイトの運営組織が表示されます。アクセスユーザはアドレスバーを見るだけで、自分がアクセスした先が最高レベルの厳格な審査をパスした運営組織を確認できます。

《グローバルサイン SSLサーバ証明書タイプ別認証フロー》
図:グローバルサイン SSLサーバ証明書タイプ別認証フロー

用途別に最適なSSLサーバ証明書を選ぼう

SSLサーバ証明書にはその信頼度のレベルによって3種類あることをご説明しました。次に、それぞれどのように使い分けたら良いかを解説します。

ドメイン認証タイプSSLサーバ証明書の導入に適したウェブサイト

ドメイン認証タイプSSLサーバ証明書は、Webサービスの運営団体の実在性の証明機能がありませんので、自分自身の身元証明を十分に果たすことができません。このため、実在証明はそれほどシビアに要求されない環境で、SSLの暗号化機能を使うことを目的として運営するのに適しています。

第三者からの接続を想定しなくて良い社内や特定の関係者だけで利用する「イントラネット」や「グループウェア」などでの用途で使うことが適しています。

企業実在認証タイプ証明書の導入に適したウェブサイト

企業実在認証タイプSSLサーバ証明書は、ウェブサイト運営団体の実在性を認証し、第三者に対して十分な身元証明の機能を果たす事が可能です。

このため企業ウェブサイトでの「お問い合わせ」や「資料請求」、ECサイトなど、ユーザの個人情報を取り扱うウェブサイトのサービスで使うことが適しています。

EV認証タイプ証明書の導入に適したウェブサイト

EV認証タイプ証明書は、ウェブサイト運営団体の実在性を最も厳格に認証するものです。EV認証タイプ証明書が導入されているウェブサイトにアクセスすると、ブラウザのアドレスバーが緑色に変わり、サイト運営団体名が表示されます。ユーザはこの時点で実在性証明を含めて最高度に安全なSSL通信をしているということが認識可能です。

このため、高度のセキュリティ対策を要求される「金融機関サービス」や「不特定多数の方が訪れるコーポレートサイト」などで使うことに適しています。

自社にとって最適なサーバ証明書導入の検討を開始しよう

以上、SSLサーバ証明書のおさらいをしながら、サーバ証明書の種類について解説しました。ひとくちにSSLによるセキュアな通信といっても用途によって最適なレベルが分かれてくることがおわかりいただけたと思います。サーバ証明書を導入することによって悪質な犯罪を防ぐことができるようになりますが、その際に、自社でどんなレベルの証明書が必要なのかを明らかにして、最適なサーバ証明書を導入するようにしましょう。

社内での用途に限られている場合には、「ドメイン認証タイプ」でも構いませんが、第三者にウェブサイトでサービスを展開する際には、「フィッシング詐欺」「なりすましサイト」によるユーザの被害を防止するためにも、「企業実在認証タイプ」または「EV認証タイプ」(Extended Validation)を導入することが必須です。

トピック関連記事

#

2016年04月04日

PCI DSSとSSL 個人情報を取り扱うなら知っておくべきセキュリティの基礎知識

#

2016年08月22日

「盗聴や改ざん」は他人事ではない!中間者攻撃とは何か理解してその対策をたてよう

#

2020年03月10日

Google Chrome 81が混合コンテンツのサイトをブロック

この記事を書きました

グローバルサインブログ編集部

グローバルサインカレッジ編集部
所属:GMOグローバルサイン マーケティング部
当サイトの運営・管理を担当。