Webサイトに“安心”を追加・・・知らないでは済まされないSSLサーバ証明書の仕組み

安心安全なWebサイトの運営を実現する上で、欠かせない存在となっているのがSSLサーバ証明書です。その仕組みや導入におけるポイントをご紹介します。

フィッシング詐欺の被害から顧客を守る

メールなどを使って偽のWebサイトにおびき寄せ、そこで入力されたIDやパスワード、クレジットカード番号などといった個人情報を盗み取る「フィッシング詐欺」の被害に遭う人が後を絶ちません。

見かけることが多いのはオンラインバンキングにログインするための情報を盗む攻撃ですが、最近ではアップルのサービスを利用するために必須となる、Apple IDを盗む手口が広まって話題となるなど、狙われる個人情報やサービスは多種多様です。

このような被害を避ける上で欠かせないのは、そのWebサイトのドメインの確認です。たとえばアップルのWebサイトであれば、Webブラウザのアドレスバーに鍵アイコンが現れます。これを確認することで、現在アクセスしているWebサイトが安全であると判断できるというわけです。

オレオレ証明書(自己証明書)がダメな理由

SSLサーバ証明書はインターネットにおける身分証のようなもので、そのWebサイトの情報が記録されています。これをWebサイトの運営に利用しているサーバに組み込む事でブラウザのアドレスバーに南京錠の鍵アイコンが表示される為、ユーザーへ安心をアピールする事ができます。

通信の暗号化もSSLサーバ証明書の大切な役割です。名前や住所、電話番号といった個人情報、あるいはクレジットカード番号が通信経路の途中で第三者に盗み見られないように暗号化し、安全に機密情報を送受信できるようにしています。ただ、通信相手が意図した相手でなく、悪意のある第三者であれば暗号化の意味はありません。その意味でもSSLサーバ証明書は重要な意味を持っています。

このSSLサーバ証明書において、重要なポイントとなるのが発行元です。一時期、オレオレ証明書という言葉が流行りました。これは自分自身で発行した証明書のことであり、「私は私であることを証明します」と言っているようなものです。このような証明書を信用できるでしょうか。もちろん、本当に“私”なのかもしれませんが、自分で証明書を発行すれば悪意のある第三者が“私”になりすますこともできてしまいます。これでは安心であるとは言えません。

また第三者が発行したSSLサーバ証明書であっても、その発行元が信用できなければ、SSLサーバ証明書に書かれている内容も信頼できません。そのため、SSLサーバ証明書では「誰が発行したのか」が重要になります。なお現在のWebブラウザでは、オレオレ証明書や信頼できない機関が発行した証明書が使われていた場合、警告画面を表示してユーザーに注意を促します。このような画面が表示されれば、そのWebサイトにアクセスしたユーザーの印象が悪くなるのは間違いないでしょう。このため、適切な第三者機関にSSLサーバ証明書の発行を依頼するのは必須であると言えます。

ブラウザ・デバイス対応について知っておきたい事

SSL暗号化通信は発行された証明書に対応したルート証明書はユーザー側のブラウザ・デバイスにインストールされている事が前提となります。ルート証明書の導入はブラウザ開発元やデバイスの開発メーカ側の仕様に依存します。

国内の某有名メーカーがスマートフォンを開発し、SSL暗号化通信に対応させる為、ルート証明書の導入をしようとしたところ、海外の有名な認証局であるコモド(COMODO)やソート(Thawte)の存在は知らず、シマンテックと国内で有名なセコムとのルート証明書だけ導入した為、この端末を購入したユーザーが買い物しようとショッピングサイトへ訪問した際、コモド製のSSLサーバ証明書を利用していた為、アクセスエラーが発生してしまいますので、証明書の選定には気を付けなければいけません。

Japan-SSLでは常時SSL実現の為にFujiSSL証明書を使用しています。FujiSSL証明書は国内最大手の認証局であるセコム(SECOM) の厳しい運用規定の元、信頼された国内の認証局(株式会社ニジモ)が発行する証明書になり、セコムのルート証明書を使用しています。セコムのルート証明書はブラウザ・デバイスへの導入率が極めて高い為、FujiSSL証明書の対応ブラウザ・デバイスは極めて高いことになります

認証局の情報一覧はこちら