無料発行も可能、3種類のSSLサーバ証明書の使い分けは？：セキュリティ強化塾（2/4 ページ）

[キーマンズネット]

SSLサーバ証明書とは一体何をするものなのか

　そもそもSSLサーバ証明書の仕組みを学んでいこう。SSL（Secure Socket Layer）とは、インターネット上のTCP/IP通信を暗号化するプロトコルで、PCなどのクライアントとサーバとの通信を暗号化し、なりすまし、盗聴を防ぐための仕組みとして古くから使われているものだ。

　SSLでは公開鍵暗号方式を利用している。そのためには「サーバが正しい運営者によるもの」であることを証明する必要があり、電子的な証明書を「信頼されている認証局」から発行してもらう必要がある。

　クライアントのWebブラウザには、信頼できる証明書のリストになり得る「ルート証明書」があらかじめインストールされており、そこから相手の証明書が正しいものかを判断することが可能だ。もしサーバに存在する証明書が、認証されていないものだった場合はSSLによる通信が成立しない。これによりなりすましの可能性を判断できる。ざっくりと説明すると、これがSSLサーバ証明書の役割だ。

ECサイトで“DV”は恥ずかしい？　知っておきたいSSLサーバ証明書の種類

　このSSLサーバ証明書には3つの種類がある。ドメイン自体を認証する「ドメイン認証型SSLサーバ証明書」（DV: Domain Validation）、ドメインだけでなく企業、組織が存在することも認証する「企業認証型SSLサーバ証明書」（OV: Organization Validation）、そして企業認証からさらに踏み込んで実在性までを厳格に認証する「EV SSL証明書」（EV: Extended Validation）だ。

表1 EV、OV、DV型SSLサーバ証明書の違い（出典：シマンテック・ウェブサイトセキュリティ）

　これらの証明書では、暗号化の種類など技術的な部分に変わりはないが、DV、OV、EVの順で信頼性が高くなる。SSLサーバ証明書は暗号化、なりすまし防止、盗聴防止などの効果のほかに、厳格に審査、認証を行うという点でOVやEVを導入すること自体が「信頼の証し」にもなる。

　例えば、DV型SSLサーバ証明書は比較的簡単に、安価に取得することが可能だ。ただし、これは「ドメイン」さえ持っていれば取得できる。つまり、有名ブランドと混同しやすいドメインを取得し、SSLサーバ証明書を取得さえすれば「暗号化通信がされる“ニセモノサイト”」を作ることはたやすい。

　これに対しOV型SSLサーバ証明書は、SSLサーバ証明書の発行局が「その組織が存在しているかどうか」を確認する。登記簿や第三者データベースを基に実在証明を行ったうえで証明書を発行するため、DVよりも信頼性は高くなるわけだ。

　EV SSL証明書は、その実在証明をさらに厳密化したものだ。EV SSLではより細かい認証プロセスをクリアした証しとして、WebブラウザのURLバーにおいて、錠のマークの隣に「組織の名称」が緑色で表示される。これにより、他のページよりもより安全であること、なりすましによるフィッシングサイトではないことを視覚的に表現できる。現在では金融機関、公共機関だけでなく、TwitterやFacebookなどの多くのユーザーが利用するサービスもEV SSLを導入し始めていることに注目したい。

図2 EV SSLを使ったWebサイト。WebブラウザのURLバーに錠のマークとともに「組織名」が表示される

　これらのSSLサーバ証明書は、目的によって使い分けることが重要だ。例えば、一般に公開されるWebサーバではEVまたはOVを利用し、イントラネットやテストサーバでは容易に取得できるDVを利用するといった使い分けだ。もしも、ECサイトのようなインターネット中心のビジネスを行っているWebサーバが、ドメイン認証のみのDVを利用しているとしたら、それは最低限のことはやっているとはいえ「恥ずかしい」と思うべきだろう。SSLサーバ証明書は、企業や組織の「信頼性」を表現するツールとしても活用したい。

図3 EV、OV、DV型SSLサーバ証明書の認証プロセス比較（出典：シマンテック・ウェブサイトセキュリティ）