1. HOME
  2. ブログ
  3. サーバー
  4. SSL サーバー証明書

BLOG

ブログ

サーバー

SSL サーバー証明書

SSL証明書

1.SSL とは?

SSL とは「 Secure Sockets Layer 」の略で、インターネットなどのネットワーク上でデータを暗号化して送受信を行う仕組みのことです。

SSL は1990年代中頃に開発され、その後何度かバージョンアップを繰り返し、現在はそれを改良した次世代の規格である TLS (Transport Layer Security) に役割が引き継がれています。

TLS は SSL を継承したもので、現在はこれらを総称して SSL/TLS と呼ぶことが多く、また SSL と呼んでいる場合でも実際は TLS を指すことがほとんどです。

通常、Web サイトの住所を表す URL は「 http 」から始まりますが、SSL が導入されている Web サイトは「 https 」から始まります。

2.SSL サーバー証明書があるとどうなる?

SSL による通信の暗号化で、第三者による盗聴・改ざんを防ぐことが可能です。これにより EC サイトなどでは、個人情報やクレジットカード情報などの重要なデータの通信を安全に行うことができます。

かつて、SSL は「ユーザーが EC サイトで商品購入時に、情報を暗号化するために利用するもの」というイメージでしたが、近年では状況が違ってきています。

常時 SSL 化といって、企業ホームページなどの個人情報を取り扱うことのない Web サイト内のすべてのページでも、SSL を導入することを指し、常時 SSL 化を行う Web サイトが増えてきています。

また、閲覧している Web サイトが目的の企業の Web サイトであることを証明するための手段として実在証明型の SSL を導入して、常時 SSL 化を行う Web サイトもあります。

さらに、Web ブラウザの Chrome は SSL 非対応な Web サイトに対して、警告を出すようになっており、多くの企業は自社 Web サイトの常時 SSL 化を採用するようになってきました。

3.SSL サーバー証明書の種類は大きく分けて3つ

SSL サーバー証明書には「 DV 」「 OV 」「 EV 」の3つの種類が存在します。

DV は「ドメイン認証型」のことで、ドメイン名を所有している名義を元に発行される SSL サーバー証明書です。

DV は組織情報の確認を受けずに SSL サーバー証明書を発行できるため、組織情報が記載されず、組織の実在性は不透明なものとなります。

つまり、DV を採用している Web サイトは通信の暗号化はしてくれますが、企業の実在性を保証しているという訳ではないのです。

これに対し、OV とは「企業認証型」のことで、別名「実在証明型」などとも呼ばれます。

OV は申請した企業の組織情報の審査が必要な SSL サーバー証明書となり、認証局がその企業が実際に存在するかどうか、確認が行われた後に証明書が発行されます。発行される証明書に記載の組織情報は偽装ができないため、Web サイト運営者のなりすまし防止が可能です。

しかし、Web ブラウザからその Web サイトの運営企業が簡単に確認できないため、ユーザー視点では DV と OV の区別は困難です。

最後の EV は「実在証明拡張型」といわれるもので、前述の OV よりもさらに厳格な審査を通過したものです。クレジットカード情報などの重要な情報の入力を必要とする Web サイトや金融機関、 Web サイトのブランドや安全性をアピールしたい Web サイトに多く導入されています。

EV を導入した Web サイトは Web ブラウザのアドレスバーが緑色となり、信頼に値する Web サイトであることをユーザーに分かりやすい形で示してくれます。

これは主要な Web ブラウザすべてで共通であり、「アドレスバーが緑色=この Web サイトは信用できる」という安心の証になるのです。

SSL サーバー証明書比較表

種別暗号化通信企業の実在性を認証アドレスバーが緑色
DV  
OV 
EV

4. SSL サーバー証明書の選び方

どの SSL サーバー証明書を選ぶかはウェブサイトの利用用途から判断します。

DV

重要情報(個人情報やクレジットカード番号等)を入力しない、誰が運営しているかを確認する必要のない Web サイトに適しています。例えば個人ブログや掲示板などです。

OV

公開する情報に信頼性を持たせる必要がある、個人情報など一般公開したくない情報の入力が必要である Web サイトに適しています。例えばコーポレートサイト、ニュース・情報検索、ソーシャルメディアサイトなどです。

EV

クレジットカード番号や口座番号など金銭のやり取りに必要な情報を入力する Web サイトに適しています。例えばネットショッピングサイト、インターネットバンキングサイト、オンライン証券サイトなどです。

まとめ

気をつけなくてはならないのは、「 SSL サーバー証明書の種類がセキュリティ性能の違いを意味するものではない」という点と、SSL サーバー証明書の Web サイトへの導入が進む一方で、「 SSL サイト = 100% 安全なサイトではない」という事実です。

かつては企業のインターネット上の看板という役割が主だった Web サイトも、徐々にその企業の信用度合いを表すものとなりつつあります。企業の信用性・信頼性の高さを示すためにも、SSL サーバー証明書を導入する際には、適切な種類の SSL サーバー証明書を選ぶ必要があります。

関連記事