SSLサーバ証明書とは
SSL証明書について
SSLとは、Secure Sockets Layer: ネットスケープコミュニケーションズ (Netscape) が開発した、インターネット上で情報を暗号化し安全な通信を提供するプロトコルの事を指し、サーバーと利用者の間のやりとりを暗号化する仕組みの1つです。
ウェブサイト上でお客様からのご注文を受ける際や、個人情報を入力してもらう時など、“https://”からはじまる、ブラウザで鍵のマークが表示されるページなどでSSL証明書はよく使用されています。
商用のウェブサイトでは、このSSL証明書が導入されているか否かで売り上げが左右される程、非常にスタンダードな技術です。PC、携帯電話間でクレジットカード・個人情報などの機密性の高い情報を安全にやり取りできます。
SSL証明書はなぜ必要か
インターネットは、便利なメディアで、それを利用する利用者も非常に多い。
インターネット上での情報通信においては、やりとりを行う相手の顔が見えないことと、安全な通信であるかどうかということが問題になります。
特にメールやウェブサイトのメールフォームを使うときに、通信の特性上、情報の盗聴・改ざんの危険性があるからです。
データ改ざん・・・Webサイトや通信内容が書き換えられてしまう危険性
なりすまし行為・・・他人が自分になりすます危険性
盗聴・・・通信内容を他人に盗み見られる危険性
否認・・・依頼されたサービスに対して相手が「依頼していない」と言い張る危険性
など企業にとって致命傷ともなる大変な問題です。
また、個人情報の保護の観点からも運営者側には情報を保護する責任があります。そのため、SSL証明書によって情報通信の安全性を保護する必要があります。
SSL証明書ページの特長
SSLを利用したページでは、URLが「http://」からではなく「https://」から始まります。
「s」はセキュリティを意味しています。 また、インターネットエクスプローラを利用した場合、右下に鍵のマークが表示されます。
SSLL証明書の役割と目的
SL/TLSを利用するには、サーバーにサーバー証明書を導入します。
サーバー証明書は信頼の置ける第三者機関=認証局が発行する電子的な証明書で、二つの機能を持っています。
1. 通信データの暗号化
SSL/TLS※という技術を用いて、パソコンやスマートフォンといった端末と、サーバー間のデータのやりとりを暗号化します。これにより、第三者によるデータの盗聴を防ぎ、データを安全に送受信できます。
※SSL(Secure Sockets Layer)/TLS(Transport Layer Security):暗号技術を用いて、二者間における安全な通信を実現するためのプロトコル。SSLは既に使用されていないプロトコルですが、その名称が広く普及しているため、本サイトではSSLと表記しています。
2. Webサイト所有者の確認
Webサイトの運営者が証明書に表示されているドメイン名(サーバー)の所有者であることを証明できます。これにより、サイト訪問者は「情報の送信先」を確認し、重要な情報を安心して送ることができます。
また、通信途中でデータの欠落や改ざんがされていないこと(真正性)も証明します。
常時SSL化
“常時SSL化”= サイト全体のSSL化
どうして常時SSL化が必要なの?
暗号化されていないページにアクセスした場合、IDやパスワード、個人情報などが盗まれるおそれがあります。こういった被害を防ぐためにも、一部分だけでなくWebサイト全体を暗号化する常時SSL化が必要とされています。
GoogleやFacebook、Twitterなど、インターネット上の著名なサービスも続々と常時SSL化しています。
また、一部のブラウザーではSSL化していないWebページにアクセスする際に、アドレスバーに警告が表示されることもあります。
検索順位への影響
Googleでは常時SSL化を推奨しており、検索エンジンの順位決定の要因として、常時SSL化しているかどうかを考慮することを公表しています。
つまり、常時SSL化することがSEO対策の一つであると言われています。
SSL証明書の価格
同じSSL証明書でなぜ価格がこんなに違うのか迷うかもしれません。その理由として以下のことがあげられます。
A. SSL証明書の発行元(認証局)の運営経費が異なる
発行元がSSL証明書を発行するにあたり、申請者が本当にその団体であるかを確認するために電話をしたり、書類を提出させたりする場合があります。そのような事務手続きに経費がかかります(したがって審査の簡易なSSL証明書ほど価格が安くなります)。また、発行元自体もデータセンターなどで高度なセキュリティを維持するために費用がかかります。
B. SSL証明書の条件によって、需要と供給の関係のバランスが異なる
発行コストがかからなくとも、携帯電話での閲覧に対応していたり、多くのブラウザに対応する証明書はそれだけ人気があり、高くても買われます。また、歴史が浅く、これから市場に大量に流通させる必要のあるSSL証明書発行元は、初期段階で価格が安くなっています。
C. ブランド力を維持するために、高い価格を維持している
ブランド品と同じように、SSL証明書発行元には、高い価格を維持することによってそのブランド力を維持するというビジネス戦略があります。一般インターネット利用者に人気があれば、サイト運営者は高くてもそのSSL証明書を選ぶでしょう。実際、そのブランドが好きか嫌いかが、SSL証明書の選択の決め手になったりします。
携帯電話への対応状況
SSL証明書発行元が、PCブラウザや携帯機種の開発元に依頼しないと、そのSSL証明書は動作しません。日本で流通しているシマンテック、ジオトラスト、グローバルサイン、Comodo、アルファSSLなどは、もともと国際的なSSL証明書発行業者で、PCのブラウザには古くから対応しています。しかし、日本で流通している携帯機種に対応させるには、日本の開発業者に設定を依頼する必要があります。また、その設定された新しい機種が広く流通しないと、未対応の旧機種の比率が多くなり、それだけ対応率が悪いということになります。携帯電話対応率が90%を超えるには、各携帯機種提供業者に依頼してから3年以上かかるといわれています。
実在認証
情報の暗号化は、SSL証明書の機能(アルゴリズム)としてもともと備わっているものです。暗号化のみを利用するのであれば、オープンソースであるopenSSL(無料)を利用しても良いと思われます。ですから、有料のSSL証明書を使う意味は実在認証の機能にあるとも言えるでしょう。グローバルサインのクイック認証SSLやジオトラストのQuick SSL Premium、アルファSSLは、申請時に発行元で、申請内容とそのドメインのwhois情報が一致することの確認を行うことでもって審査とします。(ドメインのwhois情報で審査することをドメイン認証といいます)しかしwhois情報は自己申告で比較的容易に変更できるものですから、虚偽の内容のwhois情報でもって発行されたSSL証明書がフィッシング詐欺などの犯罪に利用される可能性もゼロではありません。他方、ベリサイン、Comodoの全製品、およびグローバルサイン、ジオトラストの上位の製品では、実在確認書類の提出または帝国データバンクコードの提出が義務付けられています。ベリサインのように、原則として電話での確認を行った上で発行されるSSL証明書もあります。
ロゴとシール
SSL証明書を利用していることをweb上で示すものにサイトシールとロゴがあります。Comodo社の証明書のひとつ、実在認証ではサイト所有者の情報は表示されず、Comodo社のSSL証明書を利用しているということのみを表示するロゴが提供されます。これをサイトシールとよび、サイト所有者に対応した情報表示がされるものをロゴとよんでいます。Comodo社以外の業者ではサイト所有者の情報を一律で表示しています。ドメインのwhois情報で実在確認を行う「ドメイン認証」で発行されるSSL証明書ではドメイン名が、それ以上の審査で発行するSSL証明書では、サイトの所有者とその住所が表示されます。なお、弊社で提供しているComodo社のロゴでは、所有者および住所が日本語で表示されます。これは、ベリサインやジオトラストには無い機能です。
FQDN(コモンネーム)
FQDN(Fully Qualified Domain Name)とは、www.やサブドメイン名などを省略せず完全に記述されたドメイン名を指します。
SSL証明書はこのFQDNひとつに対して機能します。
https://www.ドメイン名
https://ドメイン名
https://サブ.ドメイン名
上記は別のFQDNですから、それぞれ別の SSL証明書が必要です。ただ、Comodo、グローバルサイン、アルファSSLでは、1個のSSL証明書で、www.がドメイン名の前につくFQDNとつかないFQDN の両方に対応します。しかしサブドメインに関しては同じSSL証明書が使えませんので、別の証明書が必要です。またジオトラストやベリサインにこの機能はなく、www.のありなしを区別してひとつのFQDNに対して証明書がひとつ必要です。なお、ワイルドカードといって、ジオトラストとComodoではすべてのサブドメインに対応するSSL証明書を提供していますが、これは価格がかなり高くなっています。
EV SSL
EV SSL証明書は、ドメイン認証のSSL証明書の増加など、証明書発行の審査が簡易になってきたことに対する反省から近年始まったものです。現在は金融機関様などの高度なセキュリティが必要なサイトのみならず、ECサイト様、大手プロバイダー様でも数多く利用されています。
・ECサイト様:オイシックス株式会社様、ライオン株式会社様など
・大手プロバイダー様:NECビッグローブ(ウェブリメール)様など
EV SSL証明書の特徴である「運営組織名の表示」、「アドレスバー(またはその周辺))を緑色で表示」など、サイト訪問者に「セキュリティーを視覚で見せる」ことにより、そのサイトの安心性・信頼感を向上するメリットが大きく、EV証明書対策をしたことによって、利益に貢献する実例がでております。
SGC機能
情報の暗号化に関する機能です。SSL証明書では、ブラウザとサーバそれぞれの暗号化強度のうち低いほうを選択して通信を行います。 SGC(Server Gated Cryptography)はこれを適用せず、40bitや56bit程度の暗号化強度のブラウザを利用しているときでも、強制的に128bitまで強度を引き上げる機能です。ベリサインのグローバルサーバーID、ComodoのSGCSSL、グローバルサインの全製品、アルファSSLの全製品などがこの機能を持ちます。ワイルドカード、EV SSLなどとは独立の概念です。
各証明書の発行までの日数
EV SSL証明書は、厳正な審査のために30日以上必要となる場合があります。
シマンテックのSSL証明書は、更新の場合、平均2-3営業日で発行されます。ただし、証明書は発行元認証局など複数の機関を経由して発行されるものであり、自動では行われないので手続きの日付・時間帯によって前後します。
新規の場合には、ほとんどの場合電話による確認があります。また、帝国データバンク番号、DUNS番号が無く、NTTの電話帳にも記載が無い場合、電話料金の支払いの請求書などの別の書類の提出後から長い場合2週間程度見ておく必要があります。