FUTURE MEDIAフューチャーメディア

フューチャースピリッツの動向やお客様の導入事例など最新情報をお届けします

bg

2023.08.03

セキュリティ情報

【SSL証明書】今風のSSLサーバー証明書の選び方!

登場人物

セキュリティコンサルタント
ジョージ

Webサイトでのお買い物大好き
  ノリ子

Web制作会社のディレクター
   シン

 

1.すべてのサイトはhttpからhttpsになるって本当?

ノリ子 「HEY!ジョージ!大変!ショッピングサイトに警告文が表示されてる!」

ジョージ「HAHAHA! このWebサイトは正しい接続先では無いか、もしくは暗号化通信されていないんだね。」

ノリ子 「どうゆう事なのおお?」

ジョージ「最新のGoogle ChromeやFirefoxでは、SSL証明書が有効じゃないWebサイトに接続した時、アドレスバーに『保護されていない通信』『安全でない接続』というような表示がでるんだ。びっくりだろう。」

ノリ子 「SSL証明書が有効じゃ無いとどうなるの?

ジョージ「ごらん、このサイトのURLは『http://~』だから、SSL証明書を使ったhttps接続じゃないんだ。このままでは正しい接続先かどうか認証できないうえに通信も暗号化されず内容をのぞき見られる危険性があるんだよ。

ノリ子 「いやだわ、のぞきだなんて!」

ジョージこれをSSLサーバー証明書を設定した『https://~』にすれば、正しい接続先かの認証がされ、通信も暗号化されWebサイトが保護される、というのは知っているかい?

ノリ子 「それは、なんとなく聞いたことがあるわ」

ジョージ「かつては、 https は、個人情報やカード情報のように、特に重要なやり取りをするページに設定すればよくて、閲覧中心のサイトは暗号化なしの http で問題ないというのが常識だった・・・(遠い目)」

ジョージ「が、」

ノリ子 「ガッ!?」

ジョージ「最近は情勢が変化してきたんだよ。」

ジョージポイント

・パソコンやスマホのブラウザに保存されるCookieや、検索窓に入力する情報も、のぞき見から保護するべきという考えが出てきました。
・犯罪に用いられるフィッシングサイトの手口が進化し、ユーザーのパソコンや参照するDNSサーバーを改ざんし不正サイトに誘導する事例が発生しました。

ジョージ「こうした状況から、『Webサイトは全て https で接続するよう設定すべきだ』という考え方が広がってきたのさ。」

ノリ子 「全てのページを安全にしようって事ね。」

ジョージ「YES! 偽ドメインのサイトには、正しいドメイン正規のSSL証明書は設置できないんだ。だから偽ドメインのサイトに httpsで接続しても、警告文が表示されて、ユーザーがすぐ気づくことができるんだ。これが、最近広く話題になっている「常時SSL」の考え方だよ。

ノリ子 「ジョージSSL…なんて素敵なの...。」

ジョージ「しかも常時SSL化が進んでから、最近ではGoogle検索のページランクもSSL接続ありのサイトを優位に評価するようになってきているのさ。」

ノリ子 「そうなのね!正規のSSL証明書が無いと、サイトもスムーズに表示されないし、Google検索でも上位にあがってこないっていう事よね?サイトでお買い物するときにも検索の上位にあるECサイトは安全ってことなのね!」

 

2.SSL証明書の違いとは?なんぞ?

シン 「ちょ、ちょ、ちょっとまって、ジョージ!SSL証明書が必要なのはわかったのですが、でもWEBサイトを作るときにどれを設置したらいいかわかりませんよ。いっぱい種類があるし。」

ジョージ「HAHAHA! 急にどうしたシン? そうさ、SSL証明書にはさまざまな種類があるんだよ。具体的にどう違うのか、何を選べばいいのかを説明しようか。」


■その1 認証レベルが違う!

シン 「認証レベルってなんですか?具体的に何が違うのかな

ジョージ認証レベルとは、SSLサーバー証明書を取得する際に必要な審査項目のレベルのことなんだ 。認証レベルによる暗号化技術には違いがないから、用途に合わせて選ぶといいよ

 

【認証レベル1】 ドメイン認証(Domain Validation)

ドメイン認証は、ドメイン名使用権を確認することにより、発行される証明書です。また、SSL証明書に記載されるドメイン名は偽装できません。よって、Webサイトを閲覧する際にSSL証明書を確認することで、実際に訪れているWebサイトのドメイン名とSSL証明書に登録されているドメイン名が一致するかどうかで正しい接続先になっているかどうかを確認できます。

サービス名:クイック認証SSL、アルファSSL、Let’s Encrypt  など

審査項目:①ドメイン名使用権の確認 ②企業の実在性

②の企業の実在性の確認には、電話認証やFAX認証など数種類があります。この認証方法は認証機関によって異なります。

【認証レベル2】企業認証(Organization Validation

企業認証は、ドメイン名使用権に加えて、Webサイトを運営している組織の実在性を第三者機関のデータベースを基に認証する証明書です。

サービス名:企業認証SSL、セキュア・サーバID など

審査項目:①ドメイン名使用権の確認  ②企業の実在性  

【認証レベル3】 EV認証Extended Validation

EV認証は、ドメイン認証、企業認証で確認される項目に加えて、物理的な実在の確認まで行う証明書です。証明書に記載されている会社・組織が、法的かつ物理的に実在し、証明書に記載されているドメインの所有者であることを認証するものです。世界標準の認証ガイドラインがあり、SSL証明書のなかで最も厳格な審査が行われます。

サービス名:セキュア・サーバID EV、グローバル・サーバID EV など

審査項目:
 ①ドメイン名使用権の確認        
 ②申請責任者制限確認者
 ③グローバルIPアドレス使用
 ④申請責任者
 ⑤法的存在(登記情報など
 ⑥お申込みの意思
 ⑦物理的存在(帝国データバンクなど)
 ⑧事業の存在
 ⑨ハイリスクステータス(申請組織を詐称したフィッシング詐欺の事例などの有無)   など

    ■その2 価格が違う!

    ジョージ「SSL証明書は、認証レベルやブランドによって価格が違うのさ。例えば、審査項目が多いEV認証などは、手間がかかっているぶん高価なのさ。」

    シン 「なるほど、それは困ったなあ。有料のSSL証明書を設置する予算なんてないっていうのに・・・。」

    ノリ子 「Oh・・シン・・・ご愁傷様。」

    ジョージ案ずるなシン。世間には無料のSSL証明書があるのを知ってるかい? Let’s Encryptは世間でよく普及しているSSL証明書なんだ。もちろん、ドメイン認証された正規のSSLサーバー証明書なのさ。」

    ジョージポイント

    Let’s EncryptはISRGという非営利団体が運営しており、MozillaCiscoさらにはFacebook Google Chromeなど、さまざまな企業や団体がスポンサーとなっているんだ。
    クラウドサービスで有名なAWSやCloudflareなども無料サーバー証明書を発行している場合があるよフューチャースピリッツではAWSの導入支援サービスも行っているんだ。詳細はAWS導入支援サービスから確認だ!

    ノリ子 「信頼のおける非営利団体が運営していることで、Let's Encrypt は普及しているのね。」

    ジョージ「That's right!いまや常時SSL化する世の中には、Let's Encryptのようなサービスが欠かせないのさ。もし企業認証やEV認証が必要であれば、無料のLet's Encryptを認証レベルの高いSSL証明書に変更も可能さ!」

    3.見分け方

    シン「Webサイトを見たとき、SSL証明書を使っているか閲覧者は分かるんですか?」

    ジョージ「アドレスバーを表示したらSSL証明書を使っているか一目瞭然さ!」

    ■Google Chromeの場合

    確認方法は下記の通りです。

    1.「URL横の鍵マーク」をクリック

    2. 「この接続は保護されています」をクリック

    3.「証明書は有効です」をクリック 


    4. 「証明書ビューアの表示」の表示から「詳細」をクリック 

    OV認証やEV認証では組織名をチェックすることで正規の接続先となっているか確認することができます。ただし、まれにSSL証明書の更新時期と企業名の更新時期にずれがあり、必ずしも一致しない場合があります。1つの目安にすると良いでしょう。

    5.証明書の詳細を確認

    例えば「件名」をクリックするとCN=コモンネームを確認することができます。コモンネームとはhttps://以下のサブドメインまでを含んだドメイン部分を指します。

    今回、例に出したURLでは【www.future.ad.jp】がCNとなります。

    また、ワイルドカード証明書などの複数のドメインを包括する証明書であれば【*.future.ad.jp】のような表記になります。

    現在接続しているURLとCNが一致している場合や、Subject Alternative Nameというサブドメインの別名にドメイン名が含まれていれば、正しい接続先のWebサイトであることが確認できます。

     

    ■Edgeの場合

    確認方法は下記のとおりです。

    1.「URLの鍵マーク」をクリック 

    2.「接続がセキュリティで保護されています」をクリック

    3.右上にある証明書アイコンをクリック

    4.「証明書ビューアーの表示」から「詳細」をクリック

    5.証明書の詳細を見ることができます。

    例えば、「詳細」の中の「対象者」を確認すると、SSL証明書が登録されているCNを確認することができます。Google Chrome同様に接続先として正しいかの確認をここで行うことが可能です。

    また、EV認証ではGoogle ChromeやEdgeに関わらず、以前はURLが緑色で表示される等の視覚的特徴がありました。しかし、最新のバージョンではその他の認証レベルと同様の見た目で表示されるなど変更になっています。

    4.ジョージのまとめ 

    • Webサイトの常時SSL対応は今や必須、欠かせない時代!
    • SSLサーバ証明書は種類によって証明できる内容が違い、値段も変わるんだ。だから、導入する時はWebサイトの必要に応じて選ぶのがいいだろう。
    • 無料のLet's Encryptでスタートし、Webサイトが成長したらグレードアップする方法もあるよ。

    ここまで常時SSL化の重要性について触れてきました。Webサイトの常時SSL対応で、閲覧者に安全と安心を提供していきましょう!

    株式会社フューチャースピリッツではSSL証明書取得代行を行っております。

    SSL証明書取得代行サービス

    【用語解説】 ~SSL証明書について~

    記事の一覧を見る 戻る

    お問い合わせはこちら

    ご不明点や気になる点は、
    サポートデスクにお問い合わせください

    お問い合わせ