SSLについて

そもそもSSLとは何か?
その仕組みと必要性について分かりやすくご案内いたします。
SSL・SSLサーバー証明書とは?
rapid SSLロゴマーク

SSL(Secure Socket Layer)とは、情報を暗号化して送る通信プロトコルのひとつです。インターネット上を流れる個人情報やクレジットカード情報などを、暗号化することに よって盗聴の危険から守ることができます。WWWだけでなく、メールやFTPなどに対しても利用することができます。

    SSLで使われる暗号は非常に強力です。理論上は解読可能なのですが、莫大な時間がかかり、まったく現実的ではありません。しかし、暗号そのものを解読しなくても、実は、もっと簡単な方法で、通信内容を読み取ることが出来ます。それは、「なりすまし」です。あるオンラインショップに送られるカード情報を盗み読みたいとしましょう。
    1. (1) 盗聴用のサーバを立ち上げる。このサーバは一種のプロクシーサーバで、ユーザと本物のSSLサイトとの通信をそっくり中継する仕組みになっている。したがって、ユーザには、本物と見分けがつかない(表示される内容は本物のSSLサイトの内容そのものになっている)。
    2. (2) ユーザを何らかの方法で盗聴サーバに誘導する。
    3. (3) ユーザは気づかずにSSLで盗聴サーバに接続し、それとの間で暗号化通信を行う。
    4. (4) 盗聴サーバはユーザとの通信内容を復号し、その内容を読み取る。
    5. (5) 盗聴サーバは本物のサイトと接続し、ユーザとの通信内容を、そのままSSLで中継する。

    第三者によって偽のサイトに誘導されてしまうと、どんなに強力な暗号を使用していたとしても通信内容が第三者に筒抜けになってしまいます。

    SSLサーバ証明書の目的は、

    (1) 暗号通信に必要な「鍵」を安全にやり取りすること。
    (2) いま接続しているSSLサイトが間違いなく本物であることを証明すること

    です。Webブラウザなどのクライアントソフトウェア(以下、ブラウザ)は、暗号化通信を始めるにあたって、まず、サーバからサーバ証明書を入手します。

    続いて、ブラウザは、入手したサーバ証明書の電子署名を確認し、いま接続しようとしているSSLサイトが「本物」であるか判断します。

    「本物」であることが判断できると、そこではじめて、暗号化通信が開始される仕組みになっています。

    サーバ証明書に何らかの問題があると、一般に、ブラウザは「サーバ証明書が信頼できない」という意味の警告を表示します。これは、「今接続しようとしているサイトが本物かどうか判断できない」ということをあらわしています。

    前述のように、サーバ証明書は、「〇〇店は信用できる」ことを保証するのではなく、「このサイトは本当に〇〇店のサイトである」ことを保証するのが目的です。ここには、顧客との信頼関係のある無しは関係しません。

    よく利用するオンラインショップがあったとして、ある時、このショップにアクセスしたら、「サーバ証明書が信頼できない」と警告が出ました。このまま通信しても安全でしょうか。

    実はこれこそ、大変危険な状態です。まさに今、そのオンラインショップの利用者を狙い撃ちにして、盗聴など何らかの不正行為が仕掛けられている可能性があるからです。「いつも利用しているところだから」と油断は禁物です。

    SSLサイトの運営者は、利用者に不審や不安を抱かれることがないように、サーバ証明書を正当な認証局から発行してもらうこと、サーバに正しく導入すること、有効期限が切れるまえに更新すること、などの正しい運用を心がける必要があります。


SSLサーバ証明書と認証局
rapid SSLロゴマーク

SSLサーバ証明書は誰でも作成することができます。ただし、「本物」であることの証明は第三者に行ってもらわなければなりません。そこで、SSLサーバ証明書は、第三者機関である「認証局」に発行してもらい、申請者がそのSSLサイトの正当な所有者であることを確認した上で、サーバ証明書を発行します。


    SSLサーバ証明書は、実は誰でも作成することができます。そのような証明書でも「(1) 暗号通信に必要な「鍵」を安全にやり取りすること」の目的には充分使えます。暗号の強度にも問題はありません。

    しかし、そのような証明書では、サイトが「本物」である証明はできません。自分で「自分は本物である」と主張しても証明にはなりません。「本物」であることの証明は第三者に行ってもらわなければなりません。そこで、SSLサーバ証明書は、第三者機関である「認証局」に発行してもらうことになります。認証局は、申請者がそのSSLサイトの正当な所有者であることを確認した上で、サーバ証明書を発行します。第三者によって偽のサイトに誘導されてしまうと、どんなに強力な暗号を使用していたとしても通信内容が第三者に筒抜けになってしまいます。


    Webブラウザなど、SSLを利用するソフトウェアや機器(以下、まとめて「ブラウザ」と呼ぶことにします)には、あらかじめ「ルート証明書」と呼ばれる証明書がインストールされています。

    認証局が発行する証明書は、ブラウザにインストールされた「ルート証明書」のいずれかで電子署名が施されています。

    あるいは、「ルート証明書」のいずれかで電子署名された「中間証明書」で、サーバ証明書に電子署名を施す場合もあります。

    ブラウザは、サーバ証明書、それに電子署名を施した中間証明書、その中間証明書に電子署名した中間証明書・・・と、順を追って検証していきます。最終的にブラウザに登録されたルート証明書に行き着けば、そのサーバ証明書は信頼できる、と判断するわけです。

    一方、サイト運営者が勝手に発行した証明書は、ルート証明書までたどることはできません。そのような証明書は「信頼できない」と判断されます。

    自分で発行した証明書でも、たとえば運営者が直接ユーザに会い、USBメモリなどで持参した証明書をユーザのブラウザに直接インストールする、などの方法 を使えば、安全なSSL接続を提供することはできます。しかし、小規模なグループでの利用などならともかく、全世界の不特定多数のユーザが利用するオンラ インショップなどでは現実的ではありません。
    サーバ証明書の発行に当たって、認証局はサイトや運営者の実在を審査します。この審査方法は、法的書類の確認や運営実態の確認を行うものから、より簡単な方法で個人でも容易に取得できるものまでまちまちです。
    しかし、どのようなレベルの審査を行って発行されたかを、エンドユーザが簡単に確認できない、ということが従来の課題でした。
    この課題を解決するために登場したのが「EV SSL証明書」です。EV SSL証明書は、米CA/Browser Forumにて規格が策定され、すべての認証局で統一された審査基準で審査を行います。また、EV SSLであることは、対応しているブラウザで容易に判別できる仕組みになっています。

    ルート証明書は、ブラウザ開発者の定める基準に合格した認証局が発行し、ブラウザにインストールしてもらっています。


    いくらブラウザが認証局発行のサーバ証明書を信頼したとしても、認証局がずさんな発行業務を行っているようでは、SSLの信頼性そのものが失われてしまいます。 そこで認証局の運用には厳格な基準が定められています、特にルート証明書をブラウザに採用してもらうには、ブラウザベンダーの定めた条件に合格しなければなりません。 たとえば、マイクロソフト社は、Internet Explorer(およびMS-Windows)のルート証明書に採用する条件として、証明局が、米国公認会計士協会(AICPA)が主催するWebTrust CAの監査に合格することを求めています。Mozilla Firefoxなども、WebTrust CA監査の合格をルート証明書の採用の条件としています。 ルート証明書を提供している認証局は、ブラウザベンダーに認められた、もっとも信頼性が高い認証局であるということができます。 ジオトラストもベリサインも、上記の条件を満たし、MS-Windows、Mozilla Firefoxその他のWebブラウザ、SSLクライアントにルート証明書を提供しています。


    ブラウザにインストールされたルート証明書は、以下の手順で確認できます。

    ▼Internet Explorerの場合
    (1) 「ツール」-「インターネットオプション」を選択する
    (2) 「コンテンツ」タブをクリックする 「証明書」ボタンをクリックする
    (3) 「信頼されたルート証明機関」をクリックする
    ▼Mozilla Firefoxの場合
    (1) 「ツール」-「オプション」を選択する
    (2) 「詳細」アイコンをクリックする
    (3) 「暗号化」タブをクリックする
    (4) 「証明書を表示」をクリックする
    (5) 「認証局証明書」をクリックする

おすすめ情報

Rapidssl
最安値!年額2,178円~
手続き簡単で一番人気!
リニューアルボーナス
90日前から更新可能!
お早めの更新で大変お得なリニューアルボーナス
EVSSL
なりすまし対策に最適!
サイトの確かさが一目でわかる!
パートナー募集
オリジナルブランドとして自由に販売可能
特別価格でご提供!
ページの最上部へ








高品質で安全なホスティングサービス、レンタルサーバー、仮想化ソリューションのウイルネット
Copyright(C) Will Co,ltd. All Right Reserved.

お申込みはこちら