SSL認証とは
SSL認証とは、Webサイトの身元を認証し、暗号化された接続を可能にするデジタル証明証のことです。SSLはSecure Sockets Layerの頭文字で、WebサーバーとWebブラウザ間で暗号化されたリンクを作成するセキュリティプロトコルです。
企業や組織は、オンライン取引を保護したり、顧客情報のプライバシーと安全を維持するために、WebサイトにSSL証明書を追加する必要があります。
簡潔に言うと、SSLは、インターネット接続を安全に保ち、2つのシステム間で転送される情報を、犯罪者が盗み見したり改竄できないようにします。アドレスバーのURLの横に南京錠のアイコンが表示されている場合、訪問中のWebサイトはSSLによって保護されています。
SSLプロトコルは約25年前の誕生以来、複数のバージョンが存在しており、これらすべては、特定の時点でセキュリティ問題に遭遇しました。その後、改良され名前が変更されたバージョンであるTLS(Transport Layer Security)は、現在も利用されています。ただし、SSLというイニシャルが定着したため、このプロトコルの新しいバージョンは、現在も通常、古い名前で呼ばれています。
SSL認証の仕組み
SSLは、ユーザーとWebサイト間、または2つのシステム間で転送されるデータの読み取りができないことを保証する仕組みです。暗号化アルゴリズムを利用して転送中のデータをスクランブル化することで、データが転送される際、ハッカーがデータを読み取ることを防止できます。このデータには、名前や住所、クレジットカード番号や他の金銭的な情報などの潜在的な機密情報が含まれます。
次に、プロセスの動作を紹介します。
1. SSLで保護されたWebサイト(つまり、Webサーバー)に、ブラウザ(またはサーバー)から接続を試みます。
2.ブラウザ(またはサーバー)からWebサーバーに、自身を識別するものを要求します。
3.Webサーバーは応答で、ブラウザ(またはサーバー)にSSL証明書のコピーを送信します。
4.ブラウザ(またはサーバー)は、SSL証明書の信頼性をチェックし確認します。その後、Webブラウザにシグナルを通知します。
5.Webサーバーは、デジタル署名確認を返信し、SSL暗号化セッションが開始されます。
6.暗号化データが、ブラウザ(またはサーバー)とWebサーバー間で共有されます。
このプロセスは、しばしば「SSLハンドシェイク」とも呼ばれます。長いプロセスに見えますが、ミリ秒単位で実行されます。
SSL証明書でWebサイトが保護されている場合、頭文字のHTTPS(HyperText Transfer Protocol Secureの略語)がURLに表示されます。SSL証明書がない場合、「Secure」の「S」がない「HTTP」の文字のみ表示されます。URLのアドレスバーには、南京錠のアイコンも表示されます。これは信頼性を示すもので、Webサイトの訪問者は安心することができます。
SSL証明書の詳細を閲覧するには、ブラウザのバー内にある南京錠のシンボルをクリックします。SSL証明書には、通常、次の詳細情報が含まれます。
•証明書が発行されたドメイン名
•発行された個人、組織、またはデバイス
•証明書を発行した認証局
•認証局のデジタル署名
•関連するサブドメイン
•証明書の発行日
•証明書の有効期限
•公開鍵(秘密鍵は公開されない)
SSL証明書が必要な理由
WebサイトでSSL証明書が必要な理由は、ユーザーデータの安全を守ったり、Webサイトの所有者を検証したり、攻撃者による偽サイトの作成を防止したり、ユーザーに信頼性を伝えることができるためです。
Webサイトで、ユーザーにサインインを求めたり、クレジットカード番号などの個人情報の入力を要求したり、医療給付や金銭情報などの機密情報を閲覧する場合、データの機密性が確保されていることが不可欠です。SSL証明書を利用すると、オンラインのやりとりでプライバシーを保護したり、Webサイトが本物で安全であり、プライベート情報を共有できることをユーザーに保証することができます。
企業にとってより関連があるのは、HTTPSのWebアドレスには、SSL証明書が必要であるという事実です。HTTPSはHTTPの安全な形式です。つまりHTTPSのWebサイトでは、トラフィックはSSLで暗号化されます。大半のブラウザでは、SSL証明書を持たないHTTPサイトは、「保護されてない」とタグ付けされます。このタグは、サイトの信頼度が低いという明確なシグナルをユーザーに送るだけでなく、HTTPSにまだ移行していない企業の動機付けになっています。
SSL証明書は、以下のような情報を保護できます。
•ログイン資格情報
•クレジットカード取引や銀行口座情報
•個人を特定できる情報(氏名、住所、生年月日、電話番号など)
•法的文書や契約書
•医療記録
•機密情報
SSL証明書の種類
SSL証明書はさまざまな種類があり、認証レベルが異なります。主な6つの種類を次に説明します。
1.拡張認証証明書(EV SSL)
2.組織認証証明書(OV SSL)
3.ドメイン認証証明書(DV SSL)
4.ワイルドカードSSL証明書
5.マルチドメインSSL証明書
6.ユニファイドコミュニケーション証明証(UCC)
拡張認証証明書(EV SSL)
これは、SSL証明書の最高ランクであり最も高価な種類です。データを収集したり、オンライン決済を伴う、知名度の高いWebサイトで使用される傾向があります。このSSL証明証がインストールされると、ブラウザのアドレスバーには、南京錠、HTTPS、会社名、および国が表示されます。Webサイトの所有者情報がアドレスバーに表示されるため、当該サイトと不正なサイトを区別することができます。EV SSL証明書を導入するには、Webサイトの所有者は、ドメインの排他的権利が法的に認められることを確認するために、標準化された実在認証プロセスを受ける必要があります。
組織認証証明書(OV SSL)
このSSL証明書のバージョンは、EV SSL証明書と同様の保証レベルであり、取得するには、Webサイトの所有者は、実質的な認証プロセスを完了する必要があります。また、この証明書タイプも、アドレスバーにWebサイトの所有者情報が表示され、不正なサイトと区別することができます。OV SSL証明書は、EV SSLに次いで2番目に高価な傾向があり、主に、トランザクション時にユーザーの機密情報を暗号化する目的で使用されます。商用のWebサイトや一般向けのWebサイトでは、共有される顧客情報の機密性が保持されることを保証するために、OV SSL証明書をインストールする必要があります。
ドメイン認証証明書(DV SSL)
このSSL証明書は、取得するための認証プロセスが最小限であり、その結果、ドメイン認証SSL証明書は、保証度が低く、暗号化も最低限となっています。この証明書は、データ収集やオンライン決済を伴わないブログや情報サイトで利用される傾向があります。このSSL証明書種類は、最も安価で迅速に取得できる証明書の1つです。認証プロセスでは、Webサイト所有者がEメールか電話に応答して、ドメインの所有権を証明する必要があるだけです。ブラウザのアドレスバーには、HTTPSと南京錠のみ表示され、会社名は表示されません。
ワイルドカードSSL証明書
ワイルドカードSSL証明書を利用すると、1つの証明書で、1つのベースドメインと無制限のサブドメインを保護することができます。保護するサブドメインが複数ある場合、ワイルドカードSSL証明書は、SSL証明書を個別に購入するより大幅に割安になります。ワイルドカードSSL証明書には、コモンネーム(一般名)の部分にアスタリスク(*)が付いており、このアスタリスクの部分は、同じベースドメインを持つ有効なサブドメインを表します。たとえば、*のWebサイトについて、1つのワイルドカード証明書を使用して以下を保護することができます。
•payments.yourdomain.com
•login.yourdomain.com
•mail.yourdomain.com
•download.yourdomain.com
•anything.yourdomain.com
マルチドメインSSL証明書(MDC)
マルチドメイン証明書を使用すると、複数のドメイン名および/またはサブドメイン名を保護することができます。この証明書は、完全に一意なドメインやサブドメインと、異なる複数のトップレベルドメイン(TLD)の組み合わせをカバーします。ただし、ローカルドメインや内部ドメインは除きます。
例を以下に紹介します。
•www.example.com
•example.org
•mail.this-domain.net
•example.anything.com.au
•checkout.example.com
•secure.example.org
マルチドメイン証明書は、デフォルトではサブドメインはサポートされません。1つのマルチドメイン証明書でwww.example.comとexample.comを保護する必要がある場合、証明書を取得する際に、両方のホスト名を指定する必要があります。
ユニファイドコミュニケーション証明証(UCC)
ユニファイドコミュニケーション証明書(UCC)も、マルチドメインSSL証明書と考えられます。UCCは当初は、MicrosoftのExchange ServerとLive Communication Serverを保護する目的で設計されました。現在、Webサイトの所有者であれば誰でも、UCC証明書を利用して、単一の証明書で複数のドメイン名を保護することができます。UCC証明書は組織単位に認証され、ブラウザに南京錠が表示されます。UCCは、EV SSL証明書として使用することが可能で、アドレスバーが緑色になっており、Webサイトの訪問者は最高の保証が得られます。
自身のWebサイトに合った適切な種類の証明書を取得するには、SSL証明書の各種種類を熟知していることが重要です。
SSL証明書の取得方法
SSL証明書は、認証局(CA)から直接取得することができます。認証局は毎年、数百万に及ぶSSL証明書を発行しています。認証局は、インターネットのあり方、およびオンラインでのやりとりにおける透明性と信頼性において重要な役割を果たしています。
SSL証明書のコストは、無料から数百ドルまで幅広く、必要なセキュリティレベルによって異なります。必要な証明書の種類を決定したら、証明書発行者を探し、必要なレベルのSSLを申し込みます。
SSLの取得には、次の手順が必要です。
•準備としては、サーバーのセットアップ後、更新されたWHOISレコードと、認証局に提出する内容が一致していることを確認します(会社名や住所などが正確に表示されている必要があります)。
•サーバーで、証明書署名要求(CSR)を生成します。この操作は、ホスティング会社が対応する場合があります。
•CSRを認証局に提出することで、ドメインや会社の詳細情報を認証することができます。
•このプロセスが完了したら、認証局が提供する証明書をインストールします。
証明書を取得したら、Webホストで証明書を構成します。または、自身でWebサイトをホストしている場合は自身のWebサーバーで証明書を構成する必要があります。
証明書を受け取るまでの期間は、取得する証明書の種類、および調達先の証明書プロバイダによって異なります。認証レベルによって、完了までにかかる時間の長さが異なります。シンプルなドメイン認証SSL証明書では、注文後数分以内で発行される場合がありますが、拡張認証では、丸1週間かかる場合もあります。
1つのSSL証明書を複数のサーバーで使用できるか
1つのSSL証明書を、同じサーバーの複数のドメインに使用することができます。ベンダーによっては、1つのSSL証明書を複数のサーバーで使用できる場合もあります。これは、上記で説明したマルチドメインSSL証明書になります。
名前が示すとおり、マルチドメインSSL証明書は複数のドメインで機能します。ドメインの数は、特定の発行元の認証局に任されています。マルチドメインSSL証明書は、シングルドメインSSL証明書とは異なります。繰り返しになりますが、シングルドメインSSL証明書は、名前が示すとおり単一のドメインを保護する目的で設計されています。
さらに混乱させることに、マルチドメインSSL証明書は、SAN証明書と呼ばれることもあります。SANは、Subject Alternative Name(サブジェクト代替名)の頭文字です。すべてのマルチドメイン証明書には追加フィールド(つまりSAN)が存在しており、これを使用することで、1つの証明書でカバーする追加ドメインを列挙することができます。
また、ユニファイドコミュニケーション証明書(UCC証明書)とワイルドカードSSL証明書も複数のドメインに使用することが可能で、後者の場合、サブドメインの数に制限がありません。
SSL証明書が期限切れになった場合
SSL証明書は有効期限があり、永遠に使えるわけではありません。SSL業界の事実上の規制機関の役割を担うCA/ブラウザフォーラムによると、SSL証明書の有効期間は27か月以内であるべきだと述べています。これは、基本的には2年間で、それにプラスして、以前のSSL証明書の残存期間を更新する場合、最大3か月まで繰り越すことができることを意味します。
SSL証明書に有効期限がある理由は、他の形態の認証と同様に、情報を定期的に再検証して、正確性を継続的に確認する必要があるためです。企業やWebサイトが売買されるのに伴い、インターネット上での状況も変化します。所有者が変わると、SSL証明書の関連情報も変化します。有効期限の目的は、サーバーや組織の認証に使用される情報を確認し、可能な限り最新で正確であることを保証するためです。
以前は、SSL証明書は最大5年間発行できましたが、その後3年に短縮され、最近は2年間プラス追加の3ヶ月になりました。2020年には、CA/ブラウザフォーラムが提案を否決したにもかかわらず、Google、Apple、Mozillaは、SSL証明書の期間を1年間に強制すると発表しました。これは2020年9月に発効しました。将来的に、有効期間がさらに短くなる可能性があります。
SSL証明書の有効期限が切れると、該当のWebサイトにはアクセスできなくなります。ユーザーのブラウザがWebサイトにアクセスすると、SSLハンドシェイクの一部として、ミリ秒単位でSSL証明書の有効性が確認されます。SSL証明書の有効期限が切れると、訪問者は、「このサイトは安全ではありません。潜在的なリスクがあります」という内容のメッセージを受け取ります。
ユーザーは続行することができますが、マルウェアの可能性など、サイバーセキュリティのリスクを伴うため、このような行動は推奨されません。このメッセージは、Webサイトの所有者にとって、ユーザーがホームページからすぐに他の場所に移動する「直帰率」に大きな影響を与えます。
SSL証明書の有効期限を常に把握することは、大企業にとって課題となっています。中小企業(SME)の場合、管理する証明書は1個から数個しかありませんが、多数のWebサイトやネットワークを持ち、複数の市場間で取り引きを行う可能性があるエンタープライズレベルの組織の場合、証明書の数がさらに多くなります。このレベルでは、SSL証明書が期限切れになるのは、能力不足ではなく、監視の結果であることが一般的です。大企業で、SSL証明書の期限切れのタイミングを常に把握する最適な方法は、証明書管理プラットフォームを利用することです。市場にはさまざまな製品が存在しており、インターネット検索で見つけることができます。これらのプラットフォームを利用すると、企業各社は、インフラストラクチャ全体のデジタル証明書を把握および管理することができます。これらのプラットフォームのいずれかを利用する場合、更新の期限を把握できるように、定期的にログインすることが重要です。
証明書の期限が切れると、証明書は無効になり、Webサイト上で安全な取り引きができなくなります。有効期限が切れる前にSSL証明証を更新するよう、認証局(CA)から促されます。
SSL証明書の取得に利用している認証局やSSLサービスに関係なく、一定の間隔で、通常は残り90日から期限切れの通知が開始されます。これらのリマインダは、1人の個人ではなくEメールの配布リスト宛に送信されていることを確認してください。個人の場合、リマインダが送信される前に、会社を退職したり別の役職に移動している場合があります。適切な人物が適切なタイミングでリマインダを確認できるように、会社のどの関係者がこの配布リストに含まれているか考えます。
WebサイトでSSL証明書を使用しているか確認する
WebサイトでSSL証明書を使用していることを確認する最も簡単な方法は、ブラウザでアドレスバーを確認することです。
•URLが、HTTPではなくHTTPSから始まっている場合、WebサイトはSSL証明書を使用して保護されています。
•安全なWebサイトには、閉じた南京錠のアイコンが表示され、クリックすると、セキュリティの詳細情報が表示されます。最も信頼度の高いWebサイトの場合、南京錠かアドレスバーが緑色になっています。
•また、接続が安全でない場合、ブラウザに警告サインが表示されます。これらには、赤色の南京錠、空いた状態の南京錠、Webサイトのアドレス部分の取り消し線、南京錠のアイコンの上の警告の三角形などがあります。
オンラインセッションの安全性を確認するには
個人データやオンライン決済の詳細情報は、EV証明書かOV証明書を使用するWebサイトにのみ送信する。DV証明書は、EコマースのWebサイトには適していません。アドレスバーを見ると、Webサイトで使用されているものがEV証明書かOV証明書かを判断できます。EV SSLの場合、アドレスバー自体に組織の名前が表示されます。OV SSLの場合、南京錠アイコンをクリックすると、組織名の詳細を確認できます。DV SSLの場合、南京錠アイコンのみ表示されます。
Webサイトのプライバシーポリシーを読む。プライバシーポリシーを読むことで、データの使用方法を確認できます。正規の企業の場合、データの収集方法や取り扱いについて、透明性があります。
Webサイトの信頼性のシグナルやインジケータに注意する。
これらには評判を表すログやバッジなどが含まれ、SSL証明書と同様、Webサイトが特定のセキュリティ標準を満たしていることを示します。Webサイトが本物かどうかを判断するのに役立つ他のサインとしては、実際の住所や電話番号をチェックしたり、返品や返金のポリシーをチェックしたり、価格に信憑性があり、話がうますぎることはないか確認します。
フィッシング詐欺に常に警戒する。
サイバー犯罪者は、人々を騙して何かを購入させたり、自身のフィッシングサイトにログインさせるために、既存のWebサイトに偽装したWebサイトを作成する場合があります。SSL証明書は、フィッシングサイトも取得することが可能であり、ユーザーとフィッシングサイト間を流れるすべてのトラフィックは暗号化されます。現在、HTTPSのサイトで発生するフィッシング詐欺の割合が増加しており、ユーザーは、南京錠のアイコン表示に安心して騙されます。
このような攻撃を回避するには、以下のことを行います。
•必ず今いるWebサイトのドメインを調べ、スペルが正しいことを確認します。偽サイトのURLは、1文字だけ異なる場合があります(amazon.comではなくamaz0n.comなど)。疑わしい場合、ドメインをブラウザに直接入力して、訪問を意図しているWebサイトに接続されることを確認します。
•Webサイトが本物であることを確認せずに、ログインやパスワード、銀行の資格情報やその他の個人情報をWebサイトに絶対に入力しないでください。
•特定のWebサイトが提供する内容、不審に見えるかどうか、本当に登録が必要かどうかを、常に考えてください。
•デバイスが適切に保護されているか確認してください。カスペルスキー インターネット セキュリティを使用すると、リソースが「安全」に見えるかどうかに関係なく、フィッシングサイトの幅広いデータベースと照合してURLを確認して、詐欺サイトを検出することができます。
サイバーセキュリティのリスクは増大し続けていますが、SSL証明書の種類を理解し、安全なWebサイトと潜在的に危険なサイトの違いに注意を払うことで、インターネットユーザーは、詐欺サイトを避け、サイバー犯罪者から個人データを守ることができます。
関連記事: