SSLとは?SSL証明書とは?信頼性と必要性について

SSLとは?

SSLとは、「Secure Sockets Layer」の略称で、データの通信を平文ではなく、暗号化して行い、盗聴や改ざんを防止することができる通信技術(プロトコル)です。

また、TLSは「Transport Layer Security」の略称で、SSLがその脆弱性への対応等からバージョンアップしていく過程で、SSL3.0を元に作成されました。

現在では、セキュリティ的に懸念があることから、SSL3.0ではなくTLS1.2の利用が推奨されており、TLSを利用されることが主流となっていますが、SSLの名称が広く普及している状況であるため、SSLやTLSを利用しておこなう暗号化通信技術(プロトコル)を、「SSL」または「SSL/TLS」と呼称するのが一般的です。

SSL証明書とは?

SSLサーバ証明書とは、SSL/TLSでの暗号化通信を行うのに必要な公開鍵と認証局の署名を含んだ電子証明書です。

SSL証明書を取得したい場合、利用しているウェブサーバー等で、秘密鍵を作成し、その秘密鍵を元にCSRを作成して、認証局へSSL証明書の発行を申請します。

CSRとは「Certificate Signing Request」の略称で、日本語では「署名要求」等とも呼びます。

CSRにはSSL/TLS暗号化通信に必要な公開鍵と、ディスティングイッシュネームを含んでいます。

ディスティングイッシュネームとは、ウェブサイトやウェブサイトの運営組織の情報が含まれており、認証局はこの情報を元に申請に対して審査や認証を行います。

審査や認証手続きを経て、認証局に署名されると、SSL証明書が発行されます。

SSL証明書は、グローバルサインやシマンテック、サイバートラストのような、信頼のおける認証機関として認められた認証局から署名されることで、ウェブサイトや運営組織の実在性の証明としても機能します。

ウェブサイトや運営組織の実在性をウェブブラウザで確認する方法は、下記をご参照下さい。

例: Google Chrome で証明書内容を確認

SSL証明書とは

SSL証明書の信頼性について

前述の通り、SSL証明書は認証局が署名をすることで発行されますが、証明書を発行するための認証局の構築は一般的な技術であるため、知識をもった技術者であれば誰でも、認証局を構築して、CSRに署名し、SSLサーバ証明書を発行することができます。

そのため、SSL証明書の申請者自身が認証局を構築・署名して、発行することも可能であり、これを俗称で「オレオレ証明書」等と呼びます。

「オレオレ証明書」はその名のごとく、「自身で自身が自身」であることを証明しているものでしかなく、信頼性に欠けます。

そこで重要なのが、信頼のおける第三者の認証機関の存在、グローバルサインやシマンテック、サイバートラストのような認証局です。

グローバルサインやシマンテック、サイバートラストが信頼できる理由は、申請者とは異なる第三者機関であるだけではありません。

信頼できるポイントは、「認証業務運用規程(CPS)」と「認証局がうける外部監査」です。

認証業務運用規程(CPS)

認証業務運用規程

SSLサーバ証明書の発行、失効を行なう認証局は厳格な運用が行われなければなりません。

認証局の義務や責任、発行するSSLサーバ証明書の仕様、情報の管理や廃棄の基準、監査など運用方針や具体的な運用手順を詳細に規定しているのが「認証業務運用規程(CPS)」で、認証局各社は、それぞれ独自の「認証業務運用規程(CPS)」を設けて、「認証業務運用規程(CPS)」に従って運用していると公表しています。

認証局がうける外部監査

認証局が「認証業務運用規程(CPS)」に従って、運用されているかどうかをユーザーが確認するのは困難です。

ユーザーに代わって確認するための監査プログラムとして、AICPA(米国公認会計士協会)とカナダ勅許会計士協会が開発した、国際的な審査基準として認められている「WebTrust for CA」があります。

弊社で取り扱いのある各認証局については、いずれも、「WebTrust for CA」の監査を受けていますので、ご安心下さい。

実際に、下記認証局ページには、監査をクリアした証である、WebTrustシールの提示があることが確認できます。

グローバルサイン

サイバートラスト

SSLサーバ証明書の必要性

インターネット上での情報(通信)のやり取りには、大きく分けて二つの問題があります。それはインターネット上の通信の安全性と本人を確認することが困難なことです。

盗聴・改ざんの危険性

盗聴

改ざん

インターネット上で情報を取り交わす場合には、メールやウェブサイトのフォーム等でやり取りしますが、SSL通信で暗号化していない場合、常に盗聴・改ざんの危険性があります。

もしも、盗聴・改ざんが発生した場合には、企業にとって大きな損害につながりかねませんし、個人情報保護法もあるため、企業は個人情報を社会的にも守るように努めなくてはなりません。

成りすまし行為の危険性

成りすまし行為

現実の世界での重要な情報のやり取り・契約などを行う場合には、実際に相手に会いやり取りを行うことで、回避ができますが、インターネット上では難しいのが実状で、成りすましの危険性があります。

成りすまし等による被害としてはフィッシング詐欺行為が有名ですが、これは利用者側・運営者側双方に被害が及びます。

SSLサーバ証明書を用いることで、「SSL暗号化通信」で盗聴・改ざんを防ぎ、ウェブサイトユーザーに「実在性の確認」を行ってもらうことで、成りすましの対策となるため、現在のインターネット環境には必要性の高いサービスと言えるでしょう。

事例・ライブラリ