登場人物
セキュリティコンサルタント
ジョージ
WEBサイトでのお買い物大好き
ノリ子
WEB制作会社のディレクター
シン
1.すべてのサイトはhttpからhttpsになるって本当?
ノリ子 「HEY!ジョージ!大変!ショッピングサイトが見れないんだけど!」
ジョージ「HAHAHA! このサイトは暗号化通信されていないんだね。」
ノリ子 「どうゆう事なのおお?」
ジョージ「最新のGoogle ChromeやFirefoxでは、Webサイトに接続した時、アドレスバーに『保護されていない通信』や『安全でない接続』というような表示がでるんだ。びっくりだろう。」
ノリ子 「びっくりだわ!」
ジョージ「ごらん、このサイトのURLは『http://~』だね。このままでは通信が暗号化されず、内容をのぞき見られる危険性があるんだよ。」
ノリ子 「いやだわ、のぞきだなんて!」
ジョージ「これを『https://~』にすれば、暗号化されサイトが保護される、というのは知っているかい?」
ノリ子 「それは、なんとなく聞いたことがあるわ」
ジョージ「数年前までは、 https は、個人情報やカード情報のように、特に重要なやり取りをするページに設定すればよくて、閲覧中心のサイトは暗号化なしの http で問題ないというのが常識だった・・・(遠い目)」
ジョージ「が、」
ノリ子 「ガッ!?」
ジョージ「最近は情勢が変化してきたんだよ。」
・パソコンのブラウザに保存されるCookieや、検索窓に入力する情報も、のぞき見から保護するべきという考えが出てきました。
・犯罪に用いられるフィッシングサイトの手口が進化し、ユーザーのパソコンや参照するDNSサーバーを改ざんし不正サイトに誘導する事例が発生しました。
ジョージ「こうした状況から、『Webサイトは全て https で接続するよう設定すべきだ』という考え方が広がってきたのさ。」
ノリ子 「全てのページを安全にしようって事ね。」
ジョージ「YES! 偽サイトには、正規のSSL証明書は設置できないんだ。そうすると https で接続する際、エラーメッセージが表示されて、ユーザーがすぐ気づくことができるんだ。これが、最近広く話題になっている「常時SSL」の考え方だよ。」
ノリ子 「ジョージSSL…なんて素敵なの...。」
ジョージ「しかも常時SSL化が進んでから、最近ではGoogle検索のページランクもSSL接続ありのサイトを優位に評価するようになってきているのさ。」
ノリ子 「そうなのね!SSLが無いと、サイトもスムーズに表示されないし、Google検索でも上位にあがってこないっていう事よね?サイトでお買い物するときにも検索の上位にあるECサイトは安全ってことなのね!」
2.SSL証明書の違いとは?なんぞ?
シン 「ちょ ちょ ちょっとまって、ジョージ! SSL証明書が必要なのはわかったのですが、でもWEBサイトを作るときにどれを設置したらいいかわかりませんよ。いっぱい種類あるし。」
ジョージ「HAHAHA! 急にどうしたシン? そうさ、SSL証明書には様々な種類があるんだよ。具体的にどう違うのか、何を選べばいいのかを説明しようか。」
その1 認証レベルが違う!
シン 「認証レベルってなんですか?」
ジョージ「認証レベルとは、SSL証明書を取得する際に、証明書を発行する企業から実在性をチェックされる審査項目のことさ」
・ドメイン認証【認証レベル1】
ドメイン認証は、ドメインに登録されている登録者を確認することにより、発行される証明書です。
SSL証明書の所有者が、証明書に記載されているドメインの所有者であることを認証するものです。
サービス名:クイック認証SSL、アルファSSL、Let’s Encrypt など
審査項目
・ドメイン名使用権の確認
・企業認証【認証レベル2】
企業認証は、ドメイン認証に加えて、WEBサイトを運営している組織の実在性を証明する証明書です。
証明書に記載されている会社、組織が法的に存在すること、また証明書に記載されているドメインの所有者であることを認証するものです。
サービス名:企業認証SSL、セキュア・サーバID など
審査項目
・ドメイン名使用権の確認
・企業の実在性
・電話認証
・EV認証【認証レベル3】
EV認証は、ドメイン認証、企業認証に加えて、所在地の認証まで行う証明書です。
証明書に記載されている会社・組織が、法的かつ物理的に実在し、
また証明書に記載されているドメインの所有者であることを認証するものです。
世界標準の認証ガイドラインがあり、SSL証明書のなかで最も厳格な審査が行われます。
サービス名:セキュア・サーバID EV、グローバル・サーバID EV など
審査項目
・ドメイン名使用権の確認
・グローバルIPアドレス使用権
・法的存在(登記情報など)
・物理的存在(帝国データバンクなど)
・事業の存在
・申請責任者制限確認者
・申請責任者
・お申込みの意思
・ハイリスクステータス(申請組織を詐称したフィッシング詐欺の事例などの有無)
など
その2 価格が違う!
ジョージ「SSL証明書は、認証レベルやブランドによって価格が違うのさ。例えば、審査項目が多いEV認証などは、手間がかかっている分高価なのさ。」
シン 「なるほど、それは困ったなあ。有料のSSL証明書を設置する予算なんてないっていうのに・・・。」
ノリ子 「Oh・・シン・・・ご愁傷様。」
ジョージ「案ずるなシン。世間には無料の証明書があるのを知ってるかい? Let’s Encryptは世間で普及してる最も有名な無料の証明書さ。」
・Let’s Encrypt は、ISRGという公益法人が運営しています。ISRGは、mozillaやCisco、さらにはfacebookやchromeなど、様々な企業や団体がスポンサー
となっています。
・ISRGは、経済的・技術的・教育的な面でインターネット上での安全な通信を行う障壁を減らすことを目的としています。
ノリ子 「信頼のおける非営利団体が運営していることで、Let'sEncrypt は普及しているのね。」
ジョージ「That'sRight!いまや常時SSL化する世の中には、Let'sEncryptのようなサービスが欠かせないのさ」
「もし企業認証やEV認証が必要であれば、無料のLet'sEncryptをグレードアップさせることも可能さ!」
3.見分け方
シン「サイトを見たとき、どこの証明書を使っているか閲覧者は分かるんですか?」
ジョージ「アドレスバーを表示したらどこの証明書を使っているか一目瞭然さ!」
■Google Chromeの場合
ドメイン認証
ドメイン認証の場合は、ドメインの所有者であることを認証するため、「CN = コモンネーム」と表記されます。
確認方法
「URLの鍵マークをクリック」 ⇒ 「証明書(有効)」⇒「 詳細」 ⇒ 「サブジェクト」
企業認証
企業認証の場合は、ドメインの所有者であることを認証、企業が法的に存在することを認証するため、「CN = コモンネーム」、「OU= 法人の部署名」、
「O = 法人名」、「L = 法人の住所(市区町村名)」、「S = 法人の住所(都道府県名)」、「C = 国の名前」が表記されます。
確認方法
「URLの鍵マークをクリック」 ⇒ 「証明書(有効)」⇒「 詳細」 ⇒ 「サブジェクト」
EV認証
EV認証の場合は、「証明書(有効)」箇所に「発行先: 企業名」が表記されている。
※他のブラウザでは、URLに企業名が表記される。
確認方法
「URLの鍵マークをクリック」 ⇒ 「証明書(有効)欄を確認」
■Edgeの場合
ドメイン認証
ドメイン認証の場合は、「サブジェクトの組織」の記載はなく、「コモンネーム」のみ表記されます。
確認方法
「URLの鍵マークをクリック」 ⇒「証明書の表示」⇒「コモンネームを確認」
企業認証
企業認証の場合は、「コモンネーム」のほかに「サブジェクトの組織」「サブジェクトのローカリティ」「サブジェクトの国」まで表記されます。
確認方法
「URLの鍵マークをクリック」 ⇒「証明書の表示」⇒「コモンネーム、サブジェクトの組織、サブジェクトのローカリティ、サブジェクトの国を確認」
EV認証
EV認証の場合は、URLに緑色で「企業名」が表記されます。
確認方法
URLに企業名が表記されているか確認
4.ジョージのまとめ
- Webサイトの常時SSL対応は今や必須、欠かせない時代ですね。
- SSL証明書は種類によって証明できる内容が違い、値段も変わるので、導入する時はサイトの重要さによって使い分けるのが大事です。
- 無料のLet's Encryptでスタートし、サイトが成長したらグレードアップするのもいいですね。
WEBサイトのSSL対応で、閲覧者に安全と安心を提供しましょう!