 |
| SSL/TLSのはてな |
第2回 SSL証明書の種類
第1回ではSSL/TLSの概要について説明しました。
第2回ではSSL証明書について説明します。
SSL証明書とは、Webサイトの身元の証明やSSLによる通信の暗号化に使われるデジタル証明書の事です。SSL証明書と呼ばれていますが第1回で説明したようにSSLは使用禁止の為、TLSの機能を利用しています。
(1)共有SSLと独自SSLの違い
| 共用SSL | 独自SSL | |
|---|---|---|
| 概要 | レンタルサーバ会社がその会社のドメイン用に取得したSSL証明書を、複数の利用者が共有して利用する | 利用者独自で申請し、取得する |
| メリット | ・手続きが独自SSLと比較して非常に簡単 ・更新手続きが不要 ・無料~安価 |
・Webサイトの安全性・信頼性をアピールできる ・独自ドメインが利用できる |
| デメリット | ・Webサイトの安全性・信頼性をアピールしづらい ・独自ドメインでは利用できない |
・手続きと設定が煩雑で共用SSLと比較して時間がかかる ・相当の費用がかかる ・更新手続きが必要(1年毎など) |
| 費用 | 年間で無料~数百円程度 | 年間で数千円~数万円から数十万円(SSL発行会社による) ※DV証明書であれば無料の場合も有り |
| 用途 | 主に個人情報や機密情報を扱わない個人サイト | ・重要な個人情報を扱うECサイト ・信頼性が求められる法人サイト |
(2)SSLサーバ証明書の種類について
※暗号化強度に違いはありません。
| DV(Domain Validated)証明書 | OV(Organization Validated)証明書 | EV(Extended Validation)証明書 | |
|---|---|---|---|
| 申請手続き | 簡単 | 煩雑 | より煩雑 |
| 審査内容 | 登録ドメインの確認のみ | 企業の実在性を認証 | 企業の実在性を厳格に認証 |
| 信頼性 | 中 | 高 | 最高(なりすまし対策可) |
| 実在性確認※ | 無 | 有 | 有 |
| デメリット | 信頼性がOV・EVと比べると弱い | 費用と時間がかかる | 費用と時間がよりかかる |
| 費用 | 低 | 中 | 高 |
| 対象 | 主に個人 | 法人 | 法人 |
| 備考 | 無料の証明書有り | ブラウザのアドレスバーに利用者の名称を表示する |
※(注)「実在性確認」とは
SSL発行会社が、組織の存在を帝国データバンクなどの社会的に信頼された第三者機関が保有するデータベース記載の代表電話に電話して、申請者の実在や申し込みの意思確認を行います。
これにより、申請内容が正しいことや、申請組織や担当者が実際に存在していることなどを確認されます。
DV認証/ドメイン認証型証明書の概要
DV認証/ドメイン認証型はドメイン所持者の実在証明をメールで確認し、認証する形式のSSL証明書です。企業や組織だけでなく、個人も利用できる認証レベルであり、簡単にWebサイトをhttps化することが出来、データ通信を暗号化することができます。
ただし、暗号化はできますが、メールによる実在証明の確認のみなので信頼性にやや欠ける認証レベルであることは否めません。
以下はMicrosoft BingのWebサイトの証明書情報ですがDV証明書が導入されていることが確認できます。
OV証明書・EV証明書と違って組織名・住所情報等は確認できません。
 |
 |
OV認証/法的実在証明型証明書の概要
OV認証/法的実在証明書型は企業認証とも呼ばれ、ドメインの所有者、サイトの運営者が法的に存在するかどうかを確認し、認証する形式のSSL証明書です。企業としての存在有無を第三者機関のデータベースの確認や電話による確認によって行われます。一般的な企業や組織であれば必要最低限の認証レベルとなります。
公式ホームページから情報を発信するだけではなく、ユーザからの入力や送信を必要とするのであれば、企業や組織としての信頼性や安全性を示すためにも、 DV認証/ドメイン認証型よりもOV認証/法的実在証明型を導入する事を推奨します。
以下は経済産業省のWebサイトの証明書情報ですがOV証明書が導入されていて組織名・住所情報等で正規のWebサイトであることが確認できます。
EV証明書と違って一目では確認できません。
 |
 |
EV認証/物理的実在証明型証明書の概要
EV認証/物理的実在証明型はOV認証/法的実在証明型よりも厳格な認証レベルであり、第三者機関のデータベースや電話による確認に加えて、登記の確認・住所に企業や組織が存在するかどうかの確認なども行われます。EV SSL証明書とも呼ばれており、SSL証明書の中では最も信頼性が高く、氏名や住所などの個人情報、クレジットカードや銀行口座などの重要情報を取り扱うのであれば導入すべき認証レベルとなります。
他の認証レベルと比べるとコストも高くなりますが、企業や組織としての信頼性に加え安全性を証明したいのであれば、一番効果的なSSL証明書であると言えます。フィッシング詐欺対策としても一番効果が高いのも特徴となります。
以下は総務省のWebサイトですが発行先として組織名の英名が表示されており、EV証明書が導入されていて正規のWebサイトであることが一目で確認できます。
 |
(3) Webサイトで取り扱うデータと認証レベルのバランスについて
個人、または企業や組織でも情報の発信のみの場合
個人であればDV認証/ドメイン認証型がコストも低く選びやすい認証レベルとなります。企業や組織で利用する場合はユーザからの送信や入力を必要とせず、自社サイトとして公式情報を発信する程度であれば、DV認証/ドメイン認証型でも問題ないと思われます。
ただし、DV認証/ドメイン認証型は容易に取得できるSSL証明書のため、データ通信の暗号化は出来てもなりすましやフィッシング詐欺対策には向かない点は留意しておく必要があります。
企業や組織としての情報発信に加え問合わせフォームを設置する場合
自社サイトとしての情報発信だけでなく、例として問合わせフォームを設置するのであれば、最低でもOV認証/法的実在証明型の導入を推奨します。なぜなら、OV認証/法的実在証明型以上の認証レベルでなければ、なりすましやフィッシング詐欺対策にならないからです。
同時に問い合わせフォームで取り扱うデータとして、個人情報が多く含まれる場合はEV認証/物理的実在証明型を導入すべきです。業界や業種によって内容が異なる部分ですので、問合わせフォームの形式やユーザに入力していただく内容に応じて見極めるようにする必要があります。
オンラインサービスとして多くの個人(重要)情報を取り扱う場合
自社サイトとしての情報発信や問合わせフォームの設置だけでなく、ECサイトや会員登録を必要とするようなオンラインサービスであり、氏名や住所などの個人情報やクレジットカード、銀行口座などの重要情報を取り扱うのであればEV認証/物理的実在証明型を導入すべきと言えます。
また、個人情報に加え金銭に関わるサービスかどうかも判断材料となります。オンラインサービスとしての課金や商品の購入がなく、取り扱う個人情報が少ないのであれば、OV認証/法的実在証明型でも問題ない場合があります。業種や業界、取り扱うデータ、個人情報の割合など多角的な情報を元にバランスを意識しながら、どの認証レベルが的確なのか考えて導入を検討する必要があります。
(4)参考:SSL証明書発行の概要
①. 秘密鍵作成(Linux等で作成用コマンドを実行します)
②. 作成した秘密鍵を使って※CSR(Certificate Signing Request)作成(Linux等で作成用コマンドを実行します)
③. 作成したCSRを認証局(証明書発行会社)に申請(申請用Webサイトにログインして申請する)
④. 認証局(証明書発行会社)から証明書が発行される(申請用Webサイトにログインしてダウンロードする等の取得方法があります)
⑤. CSRを作った秘密鍵と証明書をサーバー・ロードバランサ等にインストール
※CSRとは認証局(証明書発行会社)に対し、SSLサーバ証明書への署名を申請する内容が記載されたファイルの事です。
