SSLでは、サーバ証明書は暗号化を行うために必須ですし、認証されたサーバ証明書でなければ、暗号を”破る”ことは可能です。

SSLサーバ証明書の目的は、

1. 暗号化に必要な鍵を安全に送ること
2. クライアントがサーバより受け取った鍵が、正しく本物のサーバから送られていることを保証すること

の2つです。

特に２番目の役割が重要と考えられます。

SSLで使用されている暗号はきわめて強力で、正面からこれを破ることは大変困難です。

しかし、通信相手に成りすまし、自分宛にデータを送らせることができれば、どんなに強力な暗号が使われていたとしても、容易に通信内容を知ることができます。

サーバ証明書と暗号化は別物という誤解が広まってしまっていますが、サーバ証明書による通信相手の確認は、暗号を”破られない”ためにこそ必要なのです。

これもよくある誤解のひとつです。

SSLでは、なりすましでないことの証明を、以下の2点を確認することで行います。

1. そのサイトのドメイン名と証明書のコモンネームが一致すること。
2. ブラウザにインストールされたルート証明書からそのサイトのサーバ証明書まで、認証のパスがつながること。

この仕組みが正しく働くためには、ルート証明書を所有する（または、ルート証明書とパスの繋がる中間証明書を所有する）組織が、そのサイトのために発行したサーバ証明書を利用しなければなりません。

確かに、サーバ証明書の発行にあたって審査がありますので、結果的にサイト運営者の信用についてもある程度保証をするような形にはなりますが、どちらかといえば副産物的なものです。

SSLによる暗号化通信を行うサイトのドメイン名です。
SSL Webサイトの場合、URLに含まれるドメイン名の部分になります。

ブラウザなどのSSLクライアントは、指定したドメイン名とサーバ証明書のコモンネームを比較し、一致するか確認します。一致しなければSSLクライアントは警告メッセージを表示します。

コモンネームの例

同一サーバ上に存在するサイトであっても、コモンネームごと(ドメインごと)に異なるサーバ証明書を使わなければなりません。

たとえば https://ssl-secure.jp/ と https://www.ssl-secure.jp/ ではサーバ証明書は別になります。

独自ドメインに対するSSL対応をうたっているサービスであれば、技術的には、どこのレンタルサーバサービスでもご利用になれます。

ただし、レンタルサーバ会社によっては、ユーザが自分で用意したSSLサーバ証明書のインストールができない、または認めていない、または制約がある場合もあります。不明な場合は個々のレンタルサーバ会社にお問い合わせください。

共用型レンタルサーバでも利用できます。ご利用のレンタルサーバ会社にお問合わせください。

SNI(Server Name Indication)に対応できるのであれば、「名前ベースのバーチャルホスト」でも利用可能です。→「SNIとはなんですか」

SSLは、HTTPでの通信が始まる前に開始されます。したがって、この時点で、どのバーチャルホストに接続するか(どのバーチャルホストのサーバ証明書と秘密鍵を使用するのか)がわかっていなければなりません。

ところが「名前ベースのバーチャルホスト」は、接続するバーチャルホストを、HTTPが始まってから指定します。そのため、SSL開始時点では接続先のバーチャルホストが判別できません。

「IPベースのバーチャルホスト」の場合は、どのIPアドレスに接続してきたかによってバーチャルホストを判別します。接続先IPアドレスはSSLが開始される前にわかるので、バーチャルホストごとにSSLが使用できます。

これはWebサーバやブラウザ、サーバ証明書の種類にかかわらず当てはまる問題です。

SNI(Server Name Indication)に対応できるのであれば、「名前ベースのバーチャルホスト」でも利用可能です。詳しくは「SNIとはなんですか」をご覧ください。

はい、使えます。

ベリサインのサーバ証明書は社内利用可能です。ジオトラストの証明書は利用できません。

出来ません。

ドメイン名と異なるコモンネームのサーバ証明書を使用した場合、アクセスするとブラウザが警告を表示します。

現在のほとんどのブラウザの仕様では、警告を表示しても無視することが可能です。しかし、警告を無視させるような運用は、万一なりすましサイトが出現しても本物のサイトとの区別をつけることが難しくなりますので、別ドメインのサーバ証明書を使用することや、ブラウザの警告を無視するように促すことは絶対に避けてください。

出来ません。

万一、コモンネームを間違えて申し込まれた場合は、速やかにご連絡ください。一度発行されたサーバ証明書はキャンセルできません。

出来ません。

たとえば example.jp で取得したサーバ証明書を www.example.jp でも使う、ということはできません。それぞれ別々に証明書を取得する必要があります。

もしも多数のサブドメインをSSL下で運用したい場合は、ワイルドカード証明書(RapidSSL Wildcard, True BusinessID Wildcard )がお得です。

RapidSSLおよびQuickSSL Premiumでは、コモンネームが「www」で始まる場合、「www」なしでもアクセスできるようになります(www.example.jpならexample.jpでもSSLが有効になります)。「SAN(Subject Alternative Names)」とは何ですかをご覧下さい。

一度発行された証明書はキャンセル出来ません。

お申込み後にキャンセルを希望される場合は、証明書が発行される前に速やかにご連絡ください。

RapidSSL、QuickSSLの場合で、申請承認のメールが届いた場合は、「承認しない」を選択の上、弊社まで速やかにご連絡ください。

出来ません。

有効期限があることで「期間契約」と誤解されることがありますが、どちらかといえば「返品のできない物品購入」に近いので、「解約」という考え方が当てはまりません。

RapidSSLは、低価格で手続きも簡単なことが特長です。暗号の強度は他の証明書とかわりません。「今ブラウザが表示しているサイトは本物である」を証明するには充分です。

QuickSSL Basicは、万一サーバ証明書を紛失した場合の再発行が無料です。

QuickSSL Premiumは、QuickSSL Basicの特徴に加えて、サイトの実在を証明するジオトラストスマートシールが利用できます。サイトを訪れた方に、ジオトラストによって認証されていることをより分かりやすくアピールすることが可能になります。また、携帯端末にも対応できます。

True BusinessIDは QuickSSL Premium の特徴に加え、サイト運営企業の実在性も証明します。企業の実在性は、ジオトラストスマートシールによってサイトを訪れた方に示されます。

RapidSSLは、社内向けシステムでの利用やメールサーバ、FTPサーバのSSL対応などに向いています。オンラインショップなどの運営には、QuickSSL、True BusinessIDをお勧めします。

その他、詳しいサービスの違いはトップページのサービス比較表をご覧ください。

セキュア・サーバIDは、事実上の業界標準として知られるベリサインサーバ証明書の中でも、SSLが使用されるようになった初期から広く使われている、もっとも普及したサーバ証明書です。40ビットから256ビットまでの暗号強度に対応します。

グローバル・サーバIDは、セキュア・サーバIDの上位製品に位置づけられます。

SSLの暗号強度は、現在では128ビット以上が推奨され、128ビットに満たない強度は使用するべきでないとされています。一方、実際のSSL通信で使用される暗号強度は、サーバとクライアントの関係によって決まり、128ビット以上の強度に対応しない古いブラウザでアクセスした場合は、40ビットまたは56ビットの弱い暗号が使用されることになります。

グローバル・サーバIDは、そのような古いブラウザに対しても128ビットの強度での通信を提供するSGC（Server Gated Cryptography）をサポートしています。

どちらの証明書も、登記事項証明書や電話確認により、サイト運営者が実体のある存在であることを審査した上で発行されます。

その他、詳しいサービスの違いはトップページのサービス比較表をご覧ください。

以下は対応するPC向けWebブラウザの一例です。
なお、ベリサインのサーバ証明書は、SSL対応ブラウザであれば100%対応しています。

ジオトラストも、現在一般に使用されているブラウザではまず問題なく利用できます。

携帯端末の対応状況は「携帯端末の対応について」をご覧ください。

EV(Extended Validation) SSL規格はCA/ブラウザフォーラムが策定した、サーバ証明書発行時の審査内容を定めた世界統一規格です。

一般に、サーバ証明書は、認証局が審査の上で発行します。この審査は、サイトや運営者の実在や、証明書の申請者がサイトに対して正当な権限を有していることの確認が目的です。

従来、この審査内容は認証局や証明書の種類によりまちまちでした。SSL-SECURE.jpが扱う証明書でも、セキュア･サーバIDやTrue BusinessIDと、RapidSSL、QuickSSLでは審査方法が大きく異なります。

しかし、これまで、ユーザが、いまアクセスしているサイトのサーバ証明書について、「誰が」「誰に」「どのような基準で」発行したか確認するのには、それなりの知識と手間を必要としました。

そこで、EV SSL規格では、まず、審査基準を統一しました。審査内容は、従来行われていた審査方法と比べてもっとも厳格です。

さらに、WebサイトがEV SSL規格準拠のサーバ証明書で保護されていることが、ブラウザ上で一目で識別できるようになりました(対応ブラウザが必要です)。

厳格な実在審査と、わかりやすい表示により、近年特に問題とされている、サイトの成りすまし、いわゆる「フィッシング詐欺」に対して大きな効果を発揮することが期待されています。

なお、規格の定めるところにより、EV SSL規格準拠のサーバ証明書の発行には、組織の実在性確認のため、公的書類の提出等をお願いすることとなります。

EV SSLは、以下の組織・団体のみが申請できます。個人、個人事業者、任意団体は取得することができません。

• 日本に登記のある法人・団体
  (一般企業、財団法人、国立大学法人、学校法人、社団法人、組合、相互会社、その他法人などの単位)
• 中央省庁および国の機関/地方公共団体およびその機関

• CA/Browser Forum
• 日本電子認証協議会(JCAF)
• JCAF: EVCガイドライン日本語版

※EV SSLは強力な「実在証明」になりますが、依然として「企業の信用保証」にはなりません。これはJCAF: EVCガイドラインにも明記されています(ガイドライン 2の(c)「除外される目的」)。

2008年11月19日現在、以下のブラウザが対応しています。

• Internet Explorer 7以降
• Mozilla Firefox 3以降
• Opera 9.5以降
• Google Chrome
• Safari 3.2以降

対応ブラウザの動作

Internet Explorer

• アドレスバーが緑色になる
• 運営者名の名前住所、証明書を発行した認証局が表示される

• アドレスバーに運営者名を記載した緑色のバーを表示
• 運営者名をクリックすると、証明書の詳細な情報を表示

• アドレスバーに運営者名を緑字で表示
• 運営者名をクリックすると、証明書の詳細な情報を表示

• ブラウザの右上にサイトの運営者名を緑色で表示
• 運営者名をクリックすると、証明書の詳細な情報を表示

※もちろん、他のブラウザでも、EV SSLの表示がなされないだけで、SSL通信は問題なく行えます。携帯電話については、2005年以降発売の機種はほぼ通信可能です。

※Mozilla Firefox 2 にはEV SSL証明書のグリーンバーを表示するアドオンが公開されています。ベリサイン用ですが、ジオトラストの証明書も表示されます。

まず、フィッシング詐欺に対する効果が期待されています。EV SSLにより、サイトの運営者名などもブラウザ上で簡単に確認できますので、何者かがお客様のサイトを騙って詐欺行為を働こうとしても見分けやすくすることができます。※SSLサイトが実際には別の事業者の運用であった場合などは、効果は薄いかもしれません

また、EV SSLは、SSLサイトの安全・安心や、導入企業のセキュリティ意識の高さをユーザに直接的にアピールします。2007年11月にベリサインが行った意識調査でも、非常に多数の回答者が、EV SSL導入サイトおよび導入企業に高い信頼感、好感度を持っているという結果が出ています。

RapidSSL QuickSSL Basic QuickSSL Premium TrueBusinessID	ジオトラスト 対応機種 QuickSSL Premiumの記載ですが、ルート証明書が同じため、他の証明書でも同じと考えられます。
セキュア・サーバID グローバル・サーバID セキュア・サーバID EV グローバル・サーバID EV	下記URLに詳細な対応状況が記載されています。 日本ベリサイン：携帯電話端末 未対応機種一覧 2010年、2048ビット対応の証明書については、下記に一覧があります(上記ページより)。 日本ベリサイン：携帯電話端末 動作確認結果一覧 日本ベリサイン：携帯電話端末 未対応機種一覧
RapidSSL Wildcard TrueBusinessID Wildcard	未対応

※ソフトバンクモバイルの接続方式は、アクセスした状況により異なります。

• 他のページに記載されたリンクをクリック・・・・ゲートウェイ接続
• URL直接入力、メール本文、ブックマーク、QRコード・・・End to End接続

※ワイルドカード証明書(RapidSSL Wildcard, TrueBusinessID Wildcard)は、携帯端末向けサイトへのご利用はおすすめできません。

※携帯端末の対応は、同じ会社でも機種により微妙に異なっているのが実情ですが、基本的に、ルート証明書がその端末に採用されているか、によって決まります(EV SSLを除く)。ルート証明書の一覧については、本ページの「どのルート証明書が使われるのか教えてください。」をご覧ください。

※EV SSL証明書については、色が変わるなどの機能は実装されていないことが多いです。

※iPhone,iPadは、EV SSL以外の証明書はすべて対応していると考えられます。EV SSLも通信は可能ですが、EV SSLの特徴である、色が変わるなどの機能は実装されていません。

携帯各社、ルート証明書搭載状況

• NTT DoCoMo
• AU
• Softbank
• WILLCOM

できません。

サーバ証明書のコモンネームを変更することができないので、別のドメイン用に流用することはできません。

コモンネームには、実際にサイトへのアクセスに使われるドメイン名をFQDNで指定してください。

たとえば、

https://shop.yourdomain.com/order/

というURLでSSLサイトを運用されるのであれば、

shop.yourdomain.com

がコモンネームになります。

メールサーバ、FTPサーバをSSLで運用される場合も同じです。送信/受信メールサーバ、FTPサーバとしてクライアントソフトに設定するのと同じドメイン名をコモンネームとして指定します。

RapidSSL、QuickSSLの申請承認メールの配信先メールアドレスを申込者から指定することはできません。

申請承認の手続きは、サーバ証明書の発行審査が目的です。

具体的には、

1. サーバ証明書の対象ドメインおよびサイトが実在する。
2. 申請者はそのドメインおよびサイトの所有者であるか管理権限を有している。

ということを確認します。

メーリングリストや会員制サイトの登録時によくある本人確認メールとは目的が根本的に異なり、単に発行者本人かどうかを確認するだけではありません。

ですので、必ず、ジオトラスト側から指定されたアドレスをご用意ください。複数のアドレスの候補が指定されますので、その中から選択することはできます。

ジオトラスト側から指定されるアドレスについては、「ご用意いただくもの」の「申請承認メールの配信先メールアドレス」をご覧ください。

申請承認メールの配信先メールアドレスは、必ずジオトラストから指定したアドレスでなければなりません。それは以下のような規則で決められます。

1. コモンネームに含まれるドメインのWHOIS情報に記載された連絡用メールアドレス
2. または、コモンネームに含まれるドメインのメールアドレスで、ジオトラストが指定するもの(管理者用のメールアドレスとして一般的に使われるものが複数示されます)

このようなアドレスでメールを受信できるのは、そのドメインの所有者、または管理権限を有している人物に限られるはずですので、申請者の実在確認に使うことができます。もちろん、実際に、そのドメイン用のメールサーバが立ち上がっていなければなりません。

True BusinessID、セキュア・サーバID、グローバル・サーバIDではD-U-N-S Numberの入力も求められますが、必須ではありません。

しかしD-U-N-S Numberがあると審査手続きが軽減されます。特にセキュア・サーバID、グローバル・サーバIDでは、D-U-N-S Numberの入力がない場合、実在確認のためにベリサインから電話確認が行われることがあります。

発行前であれば、速やかにご連絡ください。

また、RapidSSL、QuickSSLで、申請承認メールが届いている場合は、必ず「承認しない」を選択の上、速やかにご連絡ください。

いったんお申し込みをキャンセルした上で、改めてお申し込みいただきます。

サーバ証明書の性格上、一度発行されてしまいますと取り消しができません。その場合は改めて新規にお申し込みいただくことになります。ご注意ください。

発行前であれば、速やかにご連絡ください。

また、RapidSSL、QuickSSLで、申請承認メールが届いている場合は、必ず「承認しない」を選択の上、速やかにご連絡ください。

正しい種類で改めてお手続きをさせていただきます（CSRの再提出が必要な場合もあります）。

一度サーバ証明書が発行されてしまいますと、取り消しができません。その場合は改めて新規にお申し込みいただくことになります。ご注意ください。

RapidSSLおよびQuickSSLでは、サーバ証明書の詳細情報をブラウザで確認すると、組織名(O)に組織名ではなくコモンネームが表示されます。これはRapidSSLおよびQuickSSLの正しい仕様です。

※以下のメッセージ例は、ブラウザにより文言が異なります。

「セキュリティ証明書は信頼する会社から発行されていません」

「セキュリティ証明書の日付は無効です」

「セキュリティ証明書の名前が無効であるか、またはサイト名と一致しません」

「セキュリティで保護されている項目と保護されていない項目が含まれています」

「検証され信頼できる運営者情報はありません」

サーバの証明書ストアの 「 信頼されたルート証明書機関 」 に「VeriSign Class 3 Public Primary Certification Authority - G5」がインストールされている場合、中間証明書をクライアントへ送信できなくなる可能性があります。この証明書をサーバ上で無効にすることで解決します。

日本ベリサインのヘルプデスクに対応方法がありますので参考にしてください。

→ 日本ベリサイン：Microsoft IIS 一部のブラウザや携帯電話で警告が表示されます。

SNI拡張は、「名前ベースのバーチャルホスト」で複数のSSL環境を利用出来るようにする技術です。

従来、バーチャルホスト環境でSSLを利用するには「IPベースのバーチャルホスト」でなければなりませんでした。そのため、SSLを利用したいバーチャルホスト毎に独立したIPアドレスを割り当てる必要がありました。

SNI拡張では、1個のIPアドレスを複数のSSLサイトで共有できます。このためIPアドレスの節約やコスト削減につながります。

SNI拡張を利用するためには、サーバとクライアントの双方が対応していなければなりません。2011年6月13日現在、対応しているサーバ・クライアントは以下のとおりです。

ブラウザ
Internet Explorer 7(Windows Vista以降であること。XPは未対応)
Mozilla Firefox 2.0
Opera 8.0
Androidデフォルトブラウザ
Opera Mobile 10.1 beta
Google Chrome
Google Chrome 6(Windows XP)
Google Chrome 5.0.342.1(OS X 10.5.7以降)
Safari 2.1(Mac OS X 10.5.6以降または Windows Vista 以降)
Apple iOS 4.0以降のMobileSafari
Windows Phone 7

サーバ
Apache 2.2.12 + mod_ssl + OpenSSL 0.9.8f

サーバ証明書
すべてのサーバ証明書がSNIで利用可能です。

SSLでは、公開鍵暗号と共通鍵暗号を組み合わせた「ハイブリッド暗号化」と呼ばれる方式を使用しています。

そして、サーバとクライアント間のデータ通信には、「共通鍵暗号」を使用しています。

暗号強度は、共通鍵暗号の鍵の長さを表します。一般に長いほど安全とされています。128ビット、または256ビットが、現在利用されている暗号強度です。

どの暗号強度が使われるかは、サーバとクライアントの関係で決まります。場合によっては、128ビットよりも弱い暗号強度になってしまうこともあります。

サーバの暗号強度：
下記に記載の暗号強度のうち、Webブラウザの対応する最高強度が使われます。

ブラウザの暗号強度：
「99.9%のブラウザに対応とのことですが、具体的には？」に記載したWebブラウザは、少なくとも128ビットの暗号強度に対応しています。

Apache 2 と Firefoxの組み合わせでは256ビットの暗号強度になります。

40ビット、56ビットの暗号強度は、現在のコンピュータの能力で解読可能であることが判明しており、ほとんど使われません。また、使用はおすすめしません。

なお、40,56ビットの弱い暗号強度にしか対応していないブラウザでも、グローバル・サーバIDなら128ビットのSSL通信を行うことができます。

いずれもジオトラストやベリサインのWebサイトで公開されていますが、ほとんどのブラウザにインストールされており、改めて用意する必要はありません。

ジオトラスト社とグローバルサイン社は、無関係の別の会社です。

詳しくは日本ジオトラスト株式会社の「ジオトラストについて」をご覧ください。

RapidSSL、QuickSSL、TrueBusinessID はジオトラスト社の登録商標です。

セキュア・サーバID、グローバル・サーバIDはベリサイン社の登録商標です。