1. SSL 証明書とは
SSL 証明書について
SSL とは、Secure Sockets Layer:ネットスケープコミュニケーションズ(Netscape)が開発した、インターネット上で情報を暗号化し安全な通信を提供するプロトコルの事を指し、サーバと利用者の間のやりとりを暗号化する仕組みの1つです。ウェブサイト上でお客様からのご注文を受ける際や、個人情報を入力してもらう際など、“https://” からはじまる、ブラウザで鍵のマークが表示されるページなどで SSL 証明書はよく使用されています。商用のウェブサイトでは、この SSL 証明書が導入されているか否かで売り上げが左右されるほど、非常にスタンダードな技術です。PC、携帯電話間でクレジットカード・個人情報などの機密性の高い情報を安全にやり取りできます。
証明書はなぜ必要か
インターネット上での情報通信においては、やりとりを行う相手の顔が見えないことと、安全な通信であるかどうかということが問題になります。
メールやウェブサイトのフォームを使うときに、通信の特性上、情報の盗聴やデータの改ざん、成りすまし行為などの危険性があるからです。
それらの問題の発生は、企業にとって致命傷ともなる大変な問題です。
また、個人情報の保護の観点からも運営者側には情報を保護する責任があります。
そのため、SSL 証明書によって情報通信の安全性を保護する必要があります。
SSL 証明書ページの特長
SSL を利用したページでは、URLが「http://」からではなく「https://」から始まります。
「s」はセキュリティを意味しています。 また、インターネットエクスプローラを利用した場合、右下に鍵のマークが表示されます。
2. SSL 証明書の役割
SSL 証明書は、以下の役割を果たすものです。
1. サイト訪問者が、サイト所有者を確認する(実在認証)
2. サイト訪問者が、サイト所有者に暗号化して情報を送信する(暗号化)
フィッシング詐欺などインターネット犯罪を防ぐだけではなく、サイト訪問者に安心感を与えます。 特に、カード決済や個人情報の入力ページでは設置が必須のものとされていますが、 SSL 証明書にはさまざまな種類があり、何を基準にどれを使うかの選択が容易ではありません。おおかまな基準は以下のようになります。
2. サイト訪問者が、サイト所有者に暗号化して情報を送信する(暗号化)
価格
定価27,000円のコモドから定価86,700円のデジサートまで、同じ SSL 証明書でなぜ価格がこんなに違うのか、と思われる方もいるかもしれません。その理由として以下のことがあげられます。
A. SSL 証明書の発行元(認証局)の運営経費が異なる
発行元が SSL 証明書を発行するにあたり、申請者が本当にその団体であるかを確認するために電話をしたり、書類を提出させたりする場合があります。そのような事務手続きに経費がかかります(したがって審査の簡易なSSL証明書ほど価格が安くなります)。また、発行元自体もデータセンターなどで高度なセキュリティを維持するために費用がかかります。
発行元が SSL 証明書を発行するにあたり、申請者が本当にその団体であるかを確認するために電話をしたり、書類を提出させたりする場合があります。そのような事務手続きに経費がかかります(したがって審査の簡易なSSL証明書ほど価格が安くなります)。また、発行元自体もデータセンターなどで高度なセキュリティを維持するために費用がかかります。
B. SSL 証明書の条件によって、需要と供給の関係のバランスが異なる
発行コストがかからなくとも、携帯電話での閲覧に対応していたり、多くのブラウザに対応する証明書はそれだけ人気があり、高くても買われます。また、歴史が浅く、これから市場に大量に流通させる必要のある SSL 証明書発行元は、初期段階で価格が安くなっています。
発行コストがかからなくとも、携帯電話での閲覧に対応していたり、多くのブラウザに対応する証明書はそれだけ人気があり、高くても買われます。また、歴史が浅く、これから市場に大量に流通させる必要のある SSL 証明書発行元は、初期段階で価格が安くなっています。
C. ブランド力を維持するために、高い価格を維持している
ブランド品と同じように、SSL 証明書発行元には、高い価格を維持することによってそのブランド力を維持するというビジネス戦略があります。一般インターネット利用者に人気があれば、サイト運営者は高くてもその SSL 証明書を選ぶでしょう。実際、そのブランドが好きか嫌いかが、SSL 証明書の選択の決め手になったりします。
ブランド品と同じように、SSL 証明書発行元には、高い価格を維持することによってそのブランド力を維持するというビジネス戦略があります。一般インターネット利用者に人気があれば、サイト運営者は高くてもその SSL 証明書を選ぶでしょう。実際、そのブランドが好きか嫌いかが、SSL 証明書の選択の決め手になったりします。
D. 大量販売による価格低下
大量販売をすればそのぶん仕入れ値は安く済み、お客様に値引きすることが可能です。弊社では高価なデジサートのセキュア・サーバ ID を57,200円、 コモドのドメイン認証タイプ(ロゴなし)に関しては6,600円でご提供しております。市場のように大量に仕入れていることからサイト名は由来しています。
大量販売をすればそのぶん仕入れ値は安く済み、お客様に値引きすることが可能です。弊社では高価なデジサートのセキュア・サーバ ID を57,200円、 コモドのドメイン認証タイプ(ロゴなし)に関しては6,600円でご提供しております。市場のように大量に仕入れていることからサイト名は由来しています。
携帯電話への対応状況
SSL 証明書発行元が、PCブラウザや携帯機種の開発元に依頼しないと、そのSSL証明書は動作しません。日本で流通しているデジサート、ジオトラスト、グローバルサイン、コモドなどは、もともと国際的な SSL 証明書発行業者で、PC のブラウザには古くから対応しています。しかし、日本で流通している携帯機種に対応させるには、日本の開発業者に設定を依頼する必要があります。また、その設定された新しい機種が広く流通しないと、未対応の旧機種の比率が多くなり、それだけ対応率が悪いということになります。携帯電話対応率が90%を超えるには、各携帯機種提供業者に依頼してから3年以上かかるといわれています。
実在認証
情報の暗号化は、SSL 証明書の機能(アルゴリズム)としてもともと備わっているものです。暗号化のみを利用するのであれば、オープンソースである openSSL(無料)を利用しても良いと思われます。ですから、有料の SSL 証明書を使う意味は実在認証の機能にあるとも言えるでしょう。グローバルサインのクイック認証 SSL やジオトラストのクイック SSL プレミアムは、申請時に発行元で、申請内容とそのドメインの whois 情報が一致することの確認を行うことでもって審査とします。(ドメインの whois 情報で審査することをドメイン認証といいます)しかし whois 情報は自己申告で比較的容易に変更できるものですから、虚偽の内容の whois 情報でもって発行された SSL 証明書がフィッシング詐欺などの犯罪に利用される可能性もゼロではありません。他方、デジサート、コモドの全製品、およびグローバルサイン、ジオトラストの上位の製品では、実在確認書類の提出または帝国データバンクコードの提出が義務付けられています。デジサートのように、原則として電話での確認を行った上で発行される SSL 証明書もあります。
ロゴとシール
SSL 証明書を利用していることを web 上で示すものにサイトシールとロゴがあります。コモド社の証明書のひとつ、ドメイン認証タイプではサイト所有者の情報は表示されず、コモド社のSSL証明書を利用しているということのみを表示するロゴが提供されます。これをサイトシールとよび、サイト所有者に対応した情報表示がされるものをロゴとよんでいます。コモド社以外の業者ではサイト所有者の情報を一律で表示しています。ドメインの whois 情報で実在確認を行う「ドメイン認証」で発行される SSL 証明書ではドメイン名が、それ以上の審査で発行する SSL 証明書では、サイトの所有者とその住所が表示されます。なお、弊社で提供しているコモド社のロゴでは、所有者および住所が日本語で表示されます。これは、デジサートやジオトラストには無い機能です。
FQDN (コモンネーム)
FQDN(Fully Qualified Domain Name)とは、www. やサブドメイン名などを省略せず完全に記述されたドメイン名を指します。
SSL 証明書はこの FQDN ひとつに対して機能します。
https://www.ドメイン名
https://ドメイン名
https://サブ.ドメイン名
上記は別の FQDN ですから、それぞれ別の SSL 証明書が必要です。ただ、コモドでは、1個の SSL 証明書で、www. がドメイン名の前につく FQDN とつかない FQDN の両方に対応します。しかしサブドメインに関しては同じ SSL 証明書が使えませんので、別の証明書が必要です。なおデジサートにこの機能はなく、www. のありなしを区別してひとつの FQDN に対して証明書がひとつ必要です。
なお、ワイルドカードといって、ジオトラストとコモドではすべてのサブドメインに対応する SSL 証明書を提供していますが、これは価格がかなり高くなっています。
https://ドメイン名
https://サブ.ドメイン名
EV SSL
EV SSL証明書は、ウェブサイトのセキュリティと信頼性を向上させるためのデジタル証明書の一種です。従来のSSL証明書よりも厳しい審査を経て発行されます。EV SSL 証明書は、ドメイン認証の SSL 証明書の増加など、証明書発行の審査が簡易になってきたことに対する反省から近年始まったものです。現在は金融機関などの高度なセキュリティが必要なサイトでしか利用されていませんが、サイト訪問者に安心感を与えるメリットが大きく、今後利用が広まっていくものと思われます。
SGC機能
情報の暗号化に関する機能です。SSL 証明書では、ブラウザとサーバそれぞれの暗号化強度のうち低いほうを選択して通信を行います。 SGC(Server Gated Cryptography)はこれを適用せず、40bit や 56bit 程度の暗号化強度のブラウザを利用しているときでも、強制的に 128bit まで強度を引き上げる機能です。デジサートのグローバル・サーバ ID などがこの機能を持ちます。ワイルドカード、EV SSL などとは独立の概念です。
発行までの日数
EV SSL 証明書は、厳正な審査のために30日以上必要となる場合があります。デジサートの SSL 証明書は、更新の場合、平均2-3営業日で発行されます。ただし、証明書は発行元認証局など複数の機関を経由して発行されるものであり、自動では行われないので手続きの日付・時間帯によって前後します。また、新規の場合には、ほとんどの場合電話による確認があります。また、帝国データバンク番号、DUNS 番号がなく、NTT の電話帳にも記載がない場合、電話料金の支払いの請求書などの別の書類の提出後から長い場合2週間程度見ておく必要があります。
3. 証明書用語辞典
SSL プロトコル
SSL(Secure Socket Layer)は、Netscape 社によって提案された、web サーバとブラウザの間のセキュアな通信を保証するために考案されたプロトコル(通信規約)です。盗聴となりすましを防ぐために、公開鍵暗号の技術を用いて、暗号化と実在証明を行います。 クレジットカードの番号やパスワードを入力する際には暗号化が必要ですし、サイトの運営者が不明な場合、実在証明によって通信先を確認できます。http:// で始まる URL は、SSL ではないプロトコルで通信が行われます。しかし、https:// で始まる URL(ブラウザによっては鍵マークが表示される)では、SSL の通信がなされます。
公開鍵暗号
公開鍵暗号では、受信者ごとに暗号化鍵と復号鍵が用意されています。 暗号鍵があれば、メッセージを暗号化することが可能です。また、正当な受信者は、復号鍵からその暗号化されたメッセージを復元(復号)することができます。暗号化鍵は公開されますが、暗号化鍵から復号鍵を得るには、計算機で膨大な時間がかかるようにしておきます。(原理として、1024ビットもの2素数の積を素因数分解するには、最速の計算機を用いても何十年もかかるとされています)
暗号化と署名
暗号化と復号は逆の操作です。メッセージを最初に復号してから暗号化しても、元のメッセージを復元できます。したがって、暗号化して意味のあるメッセージに復元できれば、その暗号化鍵に対応する復号鍵の所有者が復号したメッセージであるという保証が得られます。このような処理を署名といいます。署名は、復号鍵の所有者の実在証明が保証されて、初めて意味を持ちます。
SSL 証明書による暗号化
SSL 証明書は、数行のテキストの形をとり、 公開鍵暗号の暗号化鍵に相当します。 SSL 証明書は、暗号化のためだけであれば、原理的に誰もが発行できます。 現実に、ご自身で OpenSSL で証明書を発行することは可能です。しかし、受信者情報に虚偽がないようにする(なりすましを防ぐ)ために、 SSL 証明書の発行元を限定する必要があります。
認証局 (Certificate Authority) の役割
ルート認証局(CA)とよばれる機関が SSL 証明書を発行します。 ルートCAが認証した別の CA でも SSL 証明書を発行できます。 ルートでない CA は、その CA を認証した CA の署名をもっています。そして、各 CA は、SSL 証明書発行の際にその証明書に記載された受信者情報を厳密に審査します。また、SSL 証明書発行時にその CA が発行したという署名をします。 ブラウザには、事前にルート CA のリストが格納されています。(ルート CA を名乗ることは誰でもできます。しかし、大手の商用のブラウザに登録されなければ、意味をなしません。)ブラウザは、読み込んだ SSL 証明書の CA(署名されている)が、その中にあるかどうかを見ます。もしなければ、ルート CA ではないので、その CA を認証した CA(署名されている)を参照します。 最後にルート CA にたどり着けば、その SSL 証明書の実在証明が得られたことになります。
EV (extended validation) SSL
証明書は、インターネット通信の暗号化の他に、ウェブサイトが想定している相手か(YahooならばYahooか、成りすましでパスワードを盗もうとしていないか)を保証する役割(実在認証)があります。このために、ウェブサイトの所有者は、 SSL 証明書取得の際に本人確認の審査を受けます。EV 証明書では、この審査が各種証明書の中で最も厳しく行われます。これは、なし崩し的に SSL 証明書発行の審査がゆるくなってきた反省から生まれています。Internet Explorer 7.0 を使用して、EV SSL 証明書で保護されたウェブサイトにアクセスすると、アドレスバーが緑色に変わり、アドレスバーの横には、SSL 証明書に記載されている組織名、およびその証明書を発行した認証局名が表示されます。Joe’s SSL 市場では、デジサート、ジオトラスト、コモドの EV SSL 発行実績があります。
実在認証
EV でなくとも、SSL 証明書発行の際には申請者の確認のために戸籍謄本の提出を求めたり、電話で確認したりします。また、ドメイン認証といって、ドメインの whois 情報と申請者の情報が一致しているかのみで審査を行う SSL 証明書もありま す。ジオトラストのクイック SSL プレミアムやグローバルサインのクイック認証 SSL などがそれに該当します。この場合、悪意のある人が whois 情報を Yahoo に書き換え、「俺は Yahooだ」といえば Yahoo の偽の SSL 証明書の審査が通ってしまうということです。その意味で、ドメイン認証のみの証明書かそれ以外かという区別をしています。また、openSSL で自分で SSL 証明書を開発することもできます。しかし、webtrust という団体の監査を受けないと、PC や携帯のブラウザで利用してもらえません。いわゆるオレオレ詐欺のような犯罪を防止する意味があります。
携帯への対応率の相違
ブラウザの中で SSL 証明書のルート認証局を登録しておかないと、その SSL 証明書は機能しません。Joe’s SSL 市場で取り扱いのすべての証明書はPCのブラウザでは問題なく機能します。しかし、携帯電話のブラウザは特殊で、国によって異なります。デジサートのように比較的歴史が古く、PC のどのブラウザにも必ず入っているものは携帯電話のブラウザにもほぼ例外なく含まれています。また、ジオトラストも歴史が古いので、90%以上の携帯ブラウザに対応しています。ブランド名が同じでも、コモドの証明書はコモドジャパンから発行している UTN というルート証明書のものと、Joe’s SSL 市場や instantssl.co.jp で発行しているエントラスト(entrust)がルートのものとは、ルート認証局の相違により携帯電話への対応率が異なります。エントラストがルートになっているものは、ソフトバンクと au にはほぼ対応しています。docomo は、2008年3月以降の携帯機種に登録されており、およそ80%程度の対応率です。また、グローバルサインそのものは歴史が長い SSL 証明書ですが、日本で再出発したのが2007年7月ですのでそれ以降に発売された携帯ブラウザに登録されています。したがって、携帯ブラウザへの対応率は、これからというところです。
SGC SSL
SGC(ServerGatedCryptography)といって、40bit、56bit の暗号化強度のウェブブラウザを利用しているときでも、強制的に 128bit まで暗号化強度を引き上げる機能をもった SSL 証明書があります。他社では、デジサートのグローバル・サーバ ID、グローバルサインの全製品などが該当します。 EV SSL、ワイルドカード SSL などとは独立の概念です。
ワイルドカード SSL
InstantSSL, ProSSL, PremiumSSL, Intranet の各 SSL 証明書は、1FQDN に対して発行されます。すなわち、
1 “http://www.ドメイン名”
2 “http://ドメイン名”
3 “http://サブドメイン名.ドメイン名”
のいずれか1個の形式に対して、3.の形式については、1サブドメインに対してしか発行されません。 ワイルドカード SSL は、1ドメインの任意の FQDN の証明書として機能します。携帯電話での利用ができませんのであらかじめご了承下さい。
2 “http://ドメイン名”
3 “http://サブドメイン名.ドメイン名”
コードサイニング証明書
ソフトウェアに対する証明書です。 コモドおよび配布元によってデジタル署名された証明書を介すことで、ソフトウェア配布元の信頼性と、コードの安全性を保証することができます。SAAS(Software as a Service)のようなサービス、ダウンロード販売、オンラインアップデートなど、昨今はインターネットを使用してソフトウェアやデータ等が配布する機会が大変増えました。しかし、その提供者が果して実在する正規の提供者であるか、また、そのプログラムやデータが正しいものであるかどうかを、利用者が確認することは非常に困難です。コードサイニング証明書は、このような問題を解決する一番簡単で安全な方法です。導入することで、これらの安全性を保証する証明書をファイルに自動的に添付し、正しくない場合には注意を促すことができます。
FQDN
FQDN とは、インターネットやイントラネットなどの TCP/IP ネットワーク上で、ドメイン名・サブドメイン名・ホスト名を省略せずにすべて指定した記述形式のことです。例えば、「www.joes-ssl.com」は FQDN となりますが、「joes-ssl.com」はホスト名が省略されているので FQDN ではありません。
CSR
CSR(Certificate Signing Request)とは、証明書を発行するための署名要求とよばれるファイルです。認証局は、提出された CSR を元に認証機関としての署名をして SSL 証明書を発行します。 CSR は公開鍵の情報以外に、作成時に指定した組織名や組織の所在地などの情報が含まれます。 SSL 証明書の申請前に、SSL 証明書を導入するのウェブサーバで CSR と秘密鍵を作成してください。
- CSR 発行時に指定する組織名などは、証明書を導入するサイトの運営者の情報としてください。証明書の申請情報と CSR が不一致の場合、再申請が必要になる場合があります。
- 認証局から発行された SSL 証明書は、CSR を作成する際に使用した秘密鍵とだけペアを構成することができます。別の秘密キーから全く同じ組織名や組織の所在地などの情報で CSR を作成しても、証明書を利用することはできません。
- CSR を作成後、秘密鍵をサーバ外の別のメディアに保存し、安全な場所に保管してください。秘密鍵がないと、証明書の再取得が必要です。
- CSR を発行する際は、スペルミスなどに気をつけてください。証明書発行後に変更することはできません。
- 同じ情報・同じ手順で CSR を再度作成しても、同一の CSR は作成できません。
ライセンス
基本的に証明書は1つのコモンネームに対して1枚必要となります。また、同じコモンネームの証明書をロードバランサなどで複数台のサーバで運用する場合は、サーバごとにライセンスを契約する必要がありますので、お申し込み時にサーバ台数分のライセンスをご選択ください。(ライセンスの数証明書をご購入いただくことになりますので、必要費用は証明書単価×ライセンス数となります)
なお、セコム、グローバルサインなど特定のブランドでは1ライセンスのご契約で同じコモンネームの証明書を複数台のサーバで利用することが可能であり、複数ライセンスお申し込みいただく必要がありません。
