〇SSL/TLSは暗号化通信を行うプロトコル(≒規格)
SSLもTLSもインターネットで暗号化通信を行うためのプロトコル(≒規格)です。
SSLは"Secure Sockets Layer"の略称で、1.0〜3.0までのバージョンがありますが、いずれのバージョンも脆弱性が確認されており、利用は推奨されていません。
TLSは"Transport Layer Security"の略称で、SSLの後継として利用されていて、1.0〜1.3までのバージョンがあります。
TLSの1.0、1.1においても、脆弱性が確認されており、現在は、TLS1.2以上の利用が推奨されています。
〇SSL/TLS証明書の機能
SSL/TLSによる暗号化通信に必要な電子証明書が、SSL/TLS証明書です。
SSL証明書の機能
・暗号化通信
データを暗号化して送受信できます。
複合化に必要な秘密鍵を持たない第三者では、データの盗聴や改ざんが困難なため、平文での通信に比べて安全性が高いです。
・サイト運営者の実在性確認
SSL証明書は対象サイトのドメインの使用権確認や、発行元認証局によるサイト管理者(組織)の実在性確認の審査を経て発行されます。
そのため、SSL証明書は認証局により「サイト運営者の実在性」が確認されている証となります。
〇SSL/TLS証明書の認証レベルの違いと信頼性
SSL証明書にはドメイン認証(DV)、組織認証(OV)、EV認証(EV)の3段階の認証レベルがあります。
SSL証明書の機能として、暗号化通信とサイト運営者の実在性確認を前項で案内しましたが、このうち、暗号化通信については、その強度に違いはなく、どの認証レベルのSSL証明書を利用しても同じです。
違いがあるのは"サイト運営者の実在性確認"で、認証レベルで信頼性に大きな違いがあります。
3段階の認証レベルそれぞれの、取得可能な対象と認証局の確認項目、ブラウザでのSSL適用表示例は以下の通りです。
| EV認証(EV) | 組織認証(OV) | ドメイン認証(OV) | ドメイン認証 (一部の無償のもの) |
|
|---|---|---|---|---|
| ドメインの使用権確認 | ○ | ○ | ○ | ○ |
| フィッシング等のリスク確認 | ○ | ○ | ○ | △ |
| 取得可能な対象が 登記済組織である必要性 |
○ | ○ | × (個人でも可) |
× (個人でも可) |
| 法的実在性確認 | ○ | ○ | × (なし) |
× (なし) |
| 物理的実在性確認 | ○ | × (なし) |
× (なし) |
× (なし) |
| 事業の存在/運営の確認 | ○ | × (なし) |
× (なし) |
× (なし) |
| アドレスバーの表示例 (Chrome) |
 |
 |
 |
 |
〇が多い程、SSL証明書の取得難易度が高くなっており、取得難易度が高い分、悪用されにくく、信頼性が高いと考えられます。
・EV認証(EV)
世界的な認証基準である、「EVガイドライン」に基づいて実施される、最も厳格な審査が行われる証明書です。
取得に必要な手続きが多く、発行までに必要な期間は比較的長いですが、EV認証(EV)のSSL証明書を導入したサイトでは、表にある通りアドレスバーの左端に、緑色の文字で組織名が表示され、サイトを訪れたユーザーは、一目でサイト運営元の組織名とEVSSLが導入されていることがわかります。
取得可能な対象は、登記済みの組織に限定されており、個人では取得が出来ません。
EVでは法的・物理的実在性に加えて、事業の存在/運営の確認も行われるため、なりすましやフィッシングサイトでの利用目的で取得しようとする場合、非常に多くの手間と時間、費用が必要であり、また、足がつきやすくなる等リスクが伴うため、悪用するのは困難であると考えられます。
そのため、EV認証(EV)のSSL証明書を導入されているサイトは、本物のサイトである可能性が非常に高く、アドレスバーの表示変化で一目で確認できるので、サイトを訪れるユーザーへ与えられる信頼性は非常に高いと言えるでしょう。
・組織認証(OV)
EV認証(EV)と同様に、登記済みの組織でしか取得ができませんが、確認・審査は、法的実在性までとなります。
そのため、EV認証(EV)と比較した場合、取得するまでの手間や期間は少なく済み、手軽に取得が可能ですが、アドレスバーの表示変化はありません。
表の表示例にある鍵マークから、証明書の詳細情報を表示して、企業名や所在地の確認ができます。
しかしながら、鍵マーク表示はドメイン認証と変わらないので、一見して違いがわからず、サイトを訪れるユーザーへ与えられる信頼性は、EV認証(EV)に大きく劣るでしょう。
・ドメイン認証(DV)
個人で取得が可能で、確認・審査項目はドメイン使用権の確認のみとなるため、短期間に手軽に取得することが可能です。
ドメイン認証(DV)は有償のもの、無償のものがありますが、とくに一部の無償のドメイン認証(DV)は、取得の手軽さから、なりすましやフィッシングサイトで利用される事例が数多く確認されています。
一部の無償のドメイン認証(DV)であっても、悪用が発覚した場合は失効されたり、ブラックリストへの登録がされ、再利用はできなくなりますが、発覚前であればSSL証明書として正常に機能します。
正常に機能する以上、ウェブブラウザでも警告表示はされなたいめ、サイトの運営元に悪意があるかないかの判断は困難でしょう。
ただし、有償のドメイン認証(DV)であれば、発行前になりすましやフィッシングサイトへの対策が行われています。
例えば、グローバルサイン社の場合は、
- アンチフィッシングワーキンググループで管理されているリスト
- Googleセーフブラウジングテクノロジーで検出されるリスト
- グローバルサイン社が独自に保有しているキーワードリスト
で審査を行い、不正申請の可能性がある場合は、人的に追加審査を行った上で発行されます。
そのため、一部の無償のドメイン認証(DV)と比べて信頼性が異なります。
ドメイン認証(DV)を利用される際でも、なりすましやフィッシングサイト対策がされている有償のものを選択されることをおすすめ致します。
〇SSL/TLS証明書の確認方法
SSL証明書の利用有無をウェブブラウザで確認したい場合は、アドレスバーを確認します。
SSL証明書が正常に導入されている場合、主要なウェブブラウザでは必ず鍵マークが確認できます。
多くのウェブブラウザでは、鍵マークをクリックすることで、より詳細な情報を確認することも可能です。
その他、SSL証明書の商品によっては、ウェブサイトへ貼り付けるシールが配布されている場合があり、シールを確認することで、SSL証明書の適用と、認証レベルや運営元サイトの情報を確認することができます。
ウェブサイトを利用する際は、アドレスバーの鍵マークや、シールを確認し、信頼できるサイトか否かを判断しましょう。
ウェブサイトを公開する場合は、ユーザーに信頼してもらえるように、可能な範囲で認証レベルの高いSSL証明書を選択したり、シールを利用する等して、SSL証明書の利用と実在性をアピールし、ユーザーに安心して利用してもらえるようにしましょう。
