無料発行も可能、3種類のSSLサーバ証明書の使い分けは?:セキュリティ強化塾(4/4 ページ)
SSLサーバ証明書の価値が変化している。もはや「クレジットカードの入力フォームを備えたWebページで使うもの」だけではない。
IoT、スマホアプリでも「SSL証明書」の設計が大事
実はSSLサーバ証明書に注目すべき分野は他にもある。IoTをはじめとする組み込み分野やスマートフォンアプリ開発だ。IoTはインターネットに接続されることが前提であるため、データのやりとりが「正しい相手である」ことを確認しなければならない。ここにもSSLサーバ証明書の仕組みを用い、データ収集先がなりすましでないことを常にチェックすべきだ。
ただし、組み込み機器としての宿命として、長く使われることも念頭におかなければならない。SSLサーバ証明書で利用する暗号技術は、CPUの計算量の増加に伴い、より強固なアルゴリズムにアップデートできる仕組みがある。ところが、そもそも「アップデートする」ということを想定していない機器は、特定のタイミングでSSLサーバ証明書が使えなくなってしまう。
実際、これまで利用されてきた「SHA-1」の証明書は2016年12月末に多くのWebブラウザでの利用ができなくなる。古い携帯電話が続々とサポート対象外になっているのは、このアップデートの仕組みがないからだ。
また、スマートフォンアプリの開発者もSSLサーバ証明書を適切に理解、管理しなくてはならない。スマートフォンアプリ内から暗号化通信を行う場合、SSLサーバ証明書の正当性のチェックが行われていないと、なりすました第三者のサーバへ通信していたとしても利用者には判別が行えない。
iOSの開発者は、アプリからの通信をHTTPSに限る「ATS」(App Transport Security)の有効化が2016年末までに必須となる。そのため、開発者もSSLサーバ証明書の仕組みを理解し、さらには将来のアップデートも視野に入れた開発を行うべきだろう。
このように、SSLサーバ証明書はこれまでの「フォーム画面だけ」という時代から、「常時SSL」「アプリもSSL」という時代に変化してきた。より信頼性を高められるEV SSLと、発行のためのコストを限りなく下げられるDV証明書発行局の登場などから、SSLサーバ証明書を適材適所で活用する下地も整いつつある。
暗号化やなりすまし防止だけでなく、SEO効果や企業の信頼向上にも使えるSSLサーバ証明書を、ビジネスに効果的に取り入れてほしい。
Copyright © ITmedia, Inc. All Rights Reserved.