お役立ち資料
Introduction
SSLサーバ証明書は、Webサイトを安全に運営するために必要なものです。しかし、具体的にどのようなものかわからない、どうすれば取得できるのか知りたいという人も多いでしょう。
この記事では、SSLサーバ証明書とは何か、その仕組みや種類、メリット、取得方法、認証局の選び方などについて解説します。
目次
SSLサーバ証明書とは?
Webサイトが安全であることを証明するために必要なのが、SSLサーバ証明書です。
ここでは、SSLサーバ証明書とは何か、その仕組みや必要性について解説します。
サイトの身元を明示したうえで、データのやりとりを暗号化する技術
SSLサーバ証明書とは、Webサイトの身元を明示するための証明書のことです。WebサイトでやりとりするデータをSSLによって暗号化して、保護します。
なお、SSLはSSL3.0が2015年に廃止され、それ以降上位互換のTLSが採用されています。そのため、現在はSSLが使用されることはなくTLSが使われています。しかし、SSLという名称は定着しており、現在でもSSL証明書などと呼ばれることが多いです。この記事でも、実際はTLSが使われていますがSSLという名称を用いています。
一般財団法人日本情報経済社会推進協会(JIPDEC)の『解説「SSL/TLSサーバ証明書とは」』によると、以下のように定義されています。
SSLサーバ証明書
SSLとは「Secure Socket Layer」の略称で、インターネット上で行うデータのやり取りを暗号化するためのプロトコルです。そしてサーバ証明書とは、サイトの身元を明示するためのものです。
ネット上でデータをやりとりする際に、データが平文の状態だと、第三者に傍受された場合に外部に流出してしまいます。個人情報や企業の機密情報などだった場合、大問題になってしまいます。そこで使われるのが、SSLです。SSLとは、ネット上でデータをやりとりする際に、暗号化を行うプロトコルのことを指します。
SSLサーバ証明書とは、Webサイトの運営者の実在性を確認するためのものです。また、ユーザー側のブラウザと、Webサーバ側とのやりとりを行う際に、データを暗号化することで保護する仕組みです。
SSLサーバ証明書には、Webサイトの運営者の情報、暗号化通信に使われる鍵の情報、発行者の署名データなどが含まれています。SSLサーバ証明書が発行されているWebサイトのURLは「https://」からはじまります。
ここでは、SSLサーバ証明書による暗号化の仕組みなどについて、見ていきましょう。
暗号化の仕組み
Webサイトのデータを暗号化してやりとりする際の仕組みは、以下のようになっています。
まずは、鍵の情報をWebサーバ側とユーザーのブラウザ側とで、以下のようにやりとりします。
【鍵の送受信】
1.サーバ側→ブラウザ側:サーバ証明書+公開鍵を送付
2.ブラウザ側:サーバ証明書を検証
3.ブラウザ側:共通鍵を作成し、サーバから送られた公開鍵で暗号化
4.ブラウザ側→サーバ側:暗号化した共通鍵を送付
5.サーバ側:暗号化された共通鍵を秘密鍵で復号
次に、上記で生成された鍵を用いてデータを暗号化、復号化して、やりとりを行います。
【データの送受信】
1.ブラウザ側:上記の共通鍵でデータを暗号化
2.ブラウザ側→サーバ側:暗号化したデータを送付
3.サーバ側:受けとったデータを共通鍵で復号
SSLサーバ証明書の必要性
SSLサーバ証明書によって、Webサイトの実効性を証明することで、ユーザーは安心してそのサイトを利用することが可能です。Webサイトにアクセスする際に、証明書の有効期限が切れていないか、ブラウザが認める認証局から発行された証明書化などを確認します。
また、SSLサーバ証明書が発行されたWebサイトとやりとりをする際には、やりとりするデータが暗号化されます。そのため、通信時に悪意ある第三者から、データを盗聴されることを防げるのです。
SSLサーバ証明書の種類
SSLサーバ証明書には、いくつかの種類があります。ここでは、3種類のSSLサーバ証明書についてご説明します。
ドメイン認証型
ドメインを所有していると発行される証明書です。このタイプの証明書はもっとも基本的で、低いコストで運用できます。小規模サイトや個人サイトなどで使用されることが多いです。
ドメイン認証型の場合、ドメインの所有権を確認するだけで発行されます。そのため、ほかのタイプの証明書よりも、簡単に手続きができるのがメリットです。また、年間にかかる費用は35,000円ほどなので、個人でも運用が可能です。
ただし、企業情報の認証などは行われないため、企業サイトや大規模なサイトの証明書には向きません。
企業実在認証型
このタイプの証明書では、ドメインを所有していることに加えて、サイトを運営する企業が実在することを証明できます。
企業の実在証明は、企業のデータベースに記載されている情報と照合して、確認が行われます。代表電話番号に電話をして、確認が行われるなどの方法で企業の実在性が証明されます。そのための費用は、年間60,000円ほどです。
ドメイン認証型よりも信頼性が高く、個人情報を扱うサイト、企業サイト、ニュースサイトなどの実在証明に用いる際に適しています。
EV SSL
3つのうちで、もっとも信頼性の高い証明書です。世界標準のガイドラインに基づいた厳しい審査が行われ、ドメインの所有、企業や組織の実在性、運営、証明者などの確認を行います。必要な費用は年間130,000円ほどといわれ、申請を行ってから発行されるまでの期間は、約2週間です。
金銭のやりとりが発生するECサイトや金融機関サイト、大手企業のオフィシャルサイトなどに適しています。
SSLサーバ証明書を導入し「常時SSL化」を実現するメリット
WebサイトにSSLサーバ証明書を導入するメリットについて、ご説明します。
なりすまし対策ができる
WebサイトにSSLサーバ証明書を導入すると、サイトをブラウザで表示した際に、アドレスバーに鍵マークが表示されます。これにより、ユーザーはこのサイトが安全なサイトであることを認識できるのです。
フィッシング詐欺を行うための詐欺サイトなどは、企業サイトとまったく同じような画面構成とよく似たURLで、ユーザーをだまそうとします。しかし、このような偽サイトを表示しても、ブラウザのアドレスバーに鍵マークが表示されないため、Webサイトのなりすまし対策として有効です。
Cookie情報の盗聴を防⽌できる
SSLサーバ証明書の導入により、Web上でやりとりをするデータだけでなくCookie情報も暗号化されます。そのため、Cookie情報の盗聴を防止する効果もあります。
Cookie情報が盗聴されると、サービスのログイン認証時に使われたログイン情報などが盗まれて、なりすましに利用される可能性も高いです。しかし、サイトがSSL対応していれば、Cookie情報の盗聴を防止できます。
検索順位の上昇が見込める
Webサイトを運営する際には、検索順位をあげるためのSEO(検索エンジン最適化)対策が重要です。SSLサーバ証明書が導入されている場合、Google検索の上位に表示される可能性が高いことがわかっています。多くの人に見てもらうWebサイトにするためにも、役立ちます。
ユーザーの情報解析ができる
SSL対応が行われたWebサイト間のやりとりでは、リファラー情報が送信されるため、ユーザーの行動分析を行うことが可能です。ユーザーの行動を分析することで、より多くのユーザーにアクセスしてもらうための分析などができるでしょう。
Webサイトの高速化につながる
「HTTP/2」というHTTPプロトコルを利用すると、Webサイトの表示を高速化することが可能です。「HTTP/2」を利用するためには、Webサイトが常時SSL化されていなければなりません。常時SSL化して「HTTP/2」を採用すれば、Webサイトを高速で快適に利用できるようになるでしょう。
SSLサーバ証明書の取得方法
運営するWebサイトのSSL証明書を取得するには、基本的にサイトを運営しているサービスの内容に従って取得を行います。具体的には、CRTファイルを認証局に送って手続きを行うことで、取得可能です。
ここでは、SSL証明書を取得して、WebサイトをSSL化するまでの流れを簡単にご説明します。
1.秘密鍵を作成する
2.秘密鍵を使用してCSR(Certificate Signing Request、証明書署名要求)を生成する
3.生成したCSRを認証局に送付して申し込む
4.認証局から承認されるとSSL証明書が発行される
5.秘密鍵とSSL証明書を設定し、サーバを再起動する
6.SSL証明書が正しく設定されていることを確認する
SSLサーバ証明書の認証局の選び方
SSLサーバ証明書を発行する認証局は、さまざまな企業が運営しており、信頼性の高さや取得の際の手間、コストなどで選ぶことが可能です。ここでは、認証局を選ぶ際の重要なポイントについて、ご説明します。
認証タイプ
SSLサーバ証明書の種類でご説明したとおり、SSLサーバ証明書には、以下の3タイプがあります。
・ドメイン認証型
・企業実在認証型
・EV SSL
信頼性の高さや取得費用、適したサイトの規模などによって、適したタイプが異なります。認証局によってどのタイプを選べるのかを確認し、自サイトにあったタイプを選択できる認証局を選びましょう。
信頼性の高さ
証明書のタイプによって、審査される内容が異なるため、信頼性の高さが異なります。証明書発行時に審査される内容は、以下のとおりです。
・ドメイン認証型:ドメインの所有を確認するのみ
・企業実在認証型:ドメイン所有と企業の実在性を確認する
・EV SSL:もっとも厳格な審査が行われる
もっとも信頼性が高いのが「EV SSL」で、次いで「企業実在認証型」、信頼性がもっとも低いのが「ドメイン認証型」です。
大企業の公式サイトや、金銭のやりとりが発生するECサイトなどは「EV SSL」を選ぶべきです。個人情報を扱う会員サイトやニュースサイトなどは「企業実在認証型」が適しています。「ドメイン認証型」は、個人向けサイトや小規模サイトで使われます。
取得までの期間
取得までの期間がもっとも短いのは「ドメイン認証型」の証明書で、即日発行されることもあります。次いで「企業実在認証型」が取得しやすく、2~3日で取得することが可能です。「EV SSL」は、取得までに2週間ほどかかるといわれ、もっとも厳格な審査が行われます。
・ドメイン認証型:即日
・企業実在認証型:2~3日
・EV SSL:約2週間
また、認証局によっても取得までの期間が異なる場合があるため、どれくらいの期間で取得できるかを確認しておくとよいでしょう。
契約年数
認証局によって、複数年契約なのか、単年契約なのかが異なります。ただし、複数年契約でも、最長2年間までです。毎年更新するのが面倒な場合には、2年契約の証明書を契約するとよいでしょう。
費用
それぞれの認証タイプの証明書を発行するために必要な年間費用は、以下のとおりです。
・ドメイン認証型:無料~約40,000円/1年
・企業実在認証型:約40,000円~約90,000円/1年
・EV SSL:約100,000円~/1年
証明書によって得られる信頼度に応じて費用が変わるので、自サイトで求められる信頼性に応じて選びましょう。
ワイルドカード証明書やマルチドメイン証明書への対応
運営するWebサイトが1つではなく、複数のサイトを運営するなら、ワイルドカード証明書やマルチドメイン証明書に対応しているサービスを選ぶことをおすすめします。
ワイルドカード証明書とは「*.XXX.com」のように、ワイルドカード「*」が指定されている証明書です。ワイルドカード証明書を発行しておけば、追加審査を行わずに、新たなサブドメインを追加することが可能です。ただし、審査が厳格な「EV SSL」タイプの証明書では利用できないので、ご注意ください。
マルチドメイン証明書では、1つの証明書を複数のドメインで利用できます。拡張領域のSAN(Subject Alternative Name)に指定することで、絶対ドメイン名が異なる場合も、同じSSLサーバ証明書を利用可能です。
複数のWebサイトを運営する予定がある場合は、ワイルドカード証明書やマルチドメイン証明書への対応が可能な認証局を選びましょう。
SSLサーバ証明書の導入状況の確認方法
WebサイトがSSLサーバ証明書を導入しているかどうかの確認方法は、以下のとおりです。
・URLが「https://」ではじまっている
・Webサイトをブラウザで表示したとき、ブラウザのアドレスバーに鍵アイコンが表示される
なお、証明書の有効期限が切れている場合や、ブラウザが認めていない認証局の証明書を使用している場合などは、次のように表示されます。
・アドレスバーに「保護されていない通信」の表示
・「プライバシーが保護されません」「安全ではありません」などの警告画面の表示
SSLサーバ証明書を導入しているかどうか調べる方法は、上記のとおりとても簡単なので、調べてみてください。
SSLサーバ証明書の注意点
SSLサーバ証明書の認証局の選び方でご説明したとおり、SSLサーバ証明書には、認証タイプや費用、契約年数などによって、さまざまな選択があります。
たとえば、企業の顔となる重要な企業サイトなのに、費用を安く済ませようと信頼度の低い証明書を選ぶべきではありません。運営するWebサイトの性質によって、選ぶべき認証タイプは異なるため、自サイトに適したタイプや認証局を選びましょう。
SSLサーバ証明書の有効期限・更新について
SSLサーバ証明書は、一度審査がとおって取得できたとしても、有効期限が設定されているので注意が必要です。有効期限は、複数年契約の場合には2年間で、通常は1年間です。
有効期限が切れると、ユーザー側のブラウザに「安全ではありません」などのメッセージが表示され、不信感を抱かせてしまいます。
有効期限の30日以内に更新できるようになるため、更新の連絡が届いたら、すみやかに更新作業を行っておきましょう。
まとめ
この記事では、SSLサーバ証明書とは何か、その仕組みや種類、メリット、取得方法、認証局の選び方などについて解説しました。自社サイトを安全に運用したい場合には、それぞれの性質にあったSSLサーバ証明書を選ぶことをおすすめします。
SHIFTでは、セキュリティソリューションの導入支援を行っています。企業サイトのセキュリティ対策をしたいなどの場合は、お気軽にご相談ください。
>>SHIFTのセキュリティソリューションのページへ
>>お問い合わせページへ
>>料金についてページへ
この記事を書いた人
ご支援業種
- 製造、金融(銀行・証券・保険・決済)、情報・通信・メディア、流通・EC・運輸、ゲーム・エンターテイメント
など多数
関連コラム
-
- セキュリティ
シャドーITとは?発生する原因やインシデント事例、対策について解説
2024.06.28
詳しく見る
-
- セキュリティ
ホワイトハッカーとは?仕事内容や必要な知識・スキルについて解説
2024.06.28
詳しく見る
-
- セキュリティ
セキュリティインシデントとは?原因や被害事例、企業がとるべき対策を解説
2024.06.27
詳しく見る
-
- セキュリティ
ファジングとは?ペネトレーションテストとの違いやメリット、デメリットを解説
2024.06.27
詳しく見る
-
- セキュリティ
ラテラルムーブメントとは?攻撃手口や検知方法、対策について解説
2024.06.25
詳しく見る
-
- セキュリティ
辞書攻撃とは?手口やリスク、被害事例、対策をわかりやすく解説
2024.06.24
詳しく見る
-
- セキュリティ
UEBAとは?仕組みやSIEMとの違い、できることをわかりやすく解説
2024.06.25
詳しく見る
-
- セキュリティ
セキュリティ・バイ・デザインとは?必要性やメリット、導入方法を解説
2024.06.21
詳しく見る
-
- セキュリティ
リスクベース認証とは?仕組みや種類、導入するメリットについて解説
2024.06.21
詳しく見る
-
- セキュリティ
リバースブルートフォース攻撃とは?ブルートフォース攻撃との違いや危険性、対策を解説
2024.05.31
詳しく見る
