Webディレクター/マーケターはもう知らないでは済まされない! SSL導入実践ガイド(3/4)
SSLの重要な役割のなかには通信の暗号化のほかに、接続先の「認証」がある。認証のレベルも3段階あり、利用目的によって最適な証明書を選ぶことができる。実際の取得方法もあわせて見ていこう。
暗号化だけでは安全ではない
ここまで主にSSLの暗号化についての基礎知識を学んできた。適切に運用していれば、これだけでもデータの「盗聴」や「改ざん」といった脅威から通信の安全性を確保できるだろう。だが、利用者が通信する相手が本物に「なりすまし」た偽のWebサイトであっては暗号化保護も意味がない。なかには実際に本物とレイアウトはまったく同じで、URLが1文字違いといった悪質なサイトもある。
そこでSSLのもう一つの機能である「認証」が重要になってくる。これは、そのサーバを使う組織や会社が、どこの誰であるかを証明しておくことで可能となる。一般的な身分証明書と同じように、自分で自分のSSL証明書を発行しても信頼性は生じない。そこでインターネットに公開するWebサイトやサービスの場合に必要となってくるのが、サーバの存在(ドメイン名)を認証してSSL証明書を発行してくれる第三者の認証機関だ。これらは「認証局」や「CA(Certificate Authority)」とも呼ばれていて、認証局の発行する証明書は提供するベンダーや販売代理店などを通じて入手できる(01)。なお、Webサイトの利用者であるクライアント側のOSやWebブラウザの一部には、この認証局自身を証明するための「ルート証明書」があらかじめ用意されていて、送られてきたサーバ証明書に含まれた認証局の署名と自動的に照合することで、接続先のWebサーバが「本物」のWebサイトであるかを確認することができる。
Web サイト運営者は認証局(CA)にサーバや組織に関する情報を伝え、認証局は必要に応じて審査を行って、サーバ証明書と認証局の公開鍵を発行する。利用者はWeb ブラウザにもともと入っているルート認証局の証明書と照らしあわせて、そのサーバ証明書が正当であることを確認する
認証のレベルは3段階に分類される
この認証に用いられるSSLサーバ証明書は、認証方式の違いによって3段階に分類される(02)。暗号化の強度(破られにくさ)とは、まったく別の基準であることにも注意したい。
まず、もっとも入手が容易な「ドメイン認証型(DV:Domain Validation)」では、認証局はWebサーバがドメイン名を使用する権利があることを「認証」する。ここではWebサーバを利用する組織や会社が実在することまでは調べないため、サービスによっては最短2分程度で取得できるのがメリットだ。また、価格も年間で数千円程度とリーズナブルで、個人事業主のサイトへの導入などには適している。ただし、不特定多数の利用者があるコーポレートサイトでの利用は推奨できない。
サーバの認証は、DV、OV、EVの順番で審査が厳格となり、サーバだけでなく企業や組織の実在性が保証される。個人情報や決済システムを取り扱うECサイトではEV SSLの導入が望ましい
一般的なコーポレートサイトやECサイトなどでは、登記事項証明書などによって組織や会社の法的実在性を確認する「企業認証型(OV:Organization Validation)」の証明書が広く用いられる。申請前に審査に必要な書類を揃えたり、審査期間が3日程度かかるなどの手間はあるが、年額数万円程度の費用でコーポレートサイトの認証を取得できるのであれば、それほど高いということもないだろう。
そして一番厳格な審査がなされるのは「EV認証(EV:Extended Validation)」だ。登記事項証明書など法的な実在性の確認に加え、担当者への電話調査や企業の活動実績の調査などが綿密に行われ、その会社や組織が「物理的」に存在することをも証明してくれる。審査には2週間程度かかり、費用もサーバ1台あたり十数万円することも珍しくない。ただし、コストに見合った大きなメリットとして、一般ユーザーからもわかりやすい信頼の証である「グリーンバー」でWebサイトが表示される(03)。すでに大手企業や金融機関、公的機関をはじめ、個人情報を取り扱うWebサービスやECサイトなどでの導入が進んでいる。
SSL接続が確立していればWebブラウザのアドレス欄に鍵アイコンが表示される。さらにEV SSLであれば、利用者にわかりやすくグリーンの文字やバーが表示される
申請に必要なCSRとは
新規に導入するSSL証明書のプランが決定して手続きを開始したら、Webサーバ管理者は公開鍵の情報や組織名や所在地情報(ディスティングイッシュネーム)などを含んだCSR(Certificate Signing Request)を生成する(04)。実際の手順はWebサーバのタイプによって異なるが、設定は証明書の販売代理店やレンタルサーバ提供会社がマニュアルを用意してあることが多いので、そちらを参考にしながら慎重に進めていこう。認証局ベンダーによってはこの手順を簡略化するための仕組みを用意してある場合もある。支払い手続きなどを行い、認証局からSSL証明書が送られてきたら、Webサーバに所定の手続きでインストールして作業は完了だ。
なお、すでにレンタルサーバで運用しているWebサイトなどでは、SSL化のためのプランが用意されていることもあり、多くは管理画面から簡単に設定できる。ただし、同一のサーバ上で有効な証明書を使った「共用SSL」の場合には、普段と異なるURLとなるので注意したい。また、自前のドメインが使える「独自SSL」についても、サーバ証明書を発行する提携先のベンダーが限定されるなどの制約が生じることがある。
また、1台のサーバで複数枚の証明書を運用できるSNI SSL ( Server Name Indication) という拡張規格をサポートするレンタルサーバもあるが、古いWebブラウザや携帯電話など一部この規格に対応せず閲覧できない環境があることは覚えておきたい。
SSLの基本である暗号化と認証の役割、サーバ証明書の取得方法について理解したら、これからのSSLの動向について見ていこう。
実際に取得する手順はWebサーバ管理者が必要な情報をあらかじめ用意して、ステップを踏んで行う。この中で手間がかかる手順はCSR(Certificate Signing Request:証明書署名要求)の作成だが、この部分を代行してくれる販売代理店なども存在する。認証局にCSRを送付してSSLサーバ証明書が送られてきたら、Webサーバにインストールして作業は完了だ
認証局によっては、サーバ証明書の設定後に認証マークを設置できるようになる。これにより利用者が安全に利用できるサイトであることをアピールできる
