2019年06月27日カテゴリ:Webサイト運用

「SSL証明書」についてわかりやすくイラストにしてみました

わかりにくいSSLをわかりやすくイラストで解説する第二弾です。

SSLについてほわーっとわかったような気になったり、釈然としないまま「そーなんですね」と飲み込んだりしていませんか?
それは、SSLに含まれているいくつかの機能や役割を分けずに説明されているから、というケースが少なくありません。

今回はSSLの機能のうち「証明書とは何か?」というテーマに絞って解説します。もうひとつの機能である「通信の暗号化」についてはこちらの記事を参考にしてください。

「SSL証明書」という言葉が示す通り、なにかを証明してくれるのがその役割です。
身近な例で考えれば、それは「身分証明書」のようなものです。

受付のアリスとボブ

アリス:「はい、申請書のご記入ありがとうございました。それではご本人様を確認させていただくため、証明書のご提示をお願いできますでしょうか」

ボブ:「あ、はい。わたくし、こういうものです」

ボブの名刺

アリス:「あ、あ、ありがとうございます、ボブ様。大変失礼ですが、そういうことではなくて、もうちょっとこう一般的な、運転免許証とか…」

ボブ:「あー、なるほど。そうですよね。すみません。今探します。」

アリス:「お手数をおかけします」

ボブ:「えーっと、免許証ね・・・、あ、社員証じゃダメですか?」

アリス:「ご本人様を確認させていただくための書類としては、運転免許証、パスポート、保険証と公共料金の支払い通知書のセット、のいずれかをお願いしております。規則でして」

ボブ:「そーですよね。そーですよね。ちょっとお待ちを。。。あ、ありました!」

ボブの運転免許証

アリス:「ご協力ありがとうございます。手続きを進めてまいりますので、おかけになって少々お待ちください」

ボブ:「よろしくお願いします」

原理的にはこれと同じことがインターネットの中で起こっているのです。

誰が何を証明するのか?

銀行をはじめ何か契約ごとを行う窓口で「本人確認」を求められる場合、会社の名刺では認めてもらえません。
なぜ認めてもらえないかと言えば、仮にそれが誰もが知っている大企業だったとしても、その名刺が本物かどうかわかりません。いまどき、ご家庭のプリンタでもデザインを真似て名刺は印刷できてしまうので、証明能力はないわけです。また、仮に本物だったとして、同姓同名の別人との区別が付きませんし、「今所属しているかどうか」という期限の情報が含まれていません。

では、社員証ではなぜダメなのでしょうか?本人確認を求められる局面により有効な場面もあるでしょう。しかし、名刺と同じ程度の証明能力しかないので使えません。写真付きの社員証であれば、人相と名前の組が正しいかどうかが分かる程度です。

そもそも銀行などの窓口で行う本人確認は、手続き書類に記入された住所が今現在正しいかどうか?といった確認も含まれているため、社員証ではその要件を満たせません。

一方、運転免許証は、信用しても大丈夫だと思われる都道府県の公安委員会が発行しているものです。また偽造防止の処置も施されているため容易には偽造できず、所定の手続きを経て発行しているものなので、正しいと考えてもおかしくはありません。有効期限も写真もあるので、目の前にいるヒトとの対応も確認できます。

これが、インターネットの場合どうなるでしょうか?本人確認を求めるアリスがブラウザだとして、アクセスした先のWebサイトがボブだとしましょう。
そのボブのWebサイトが本当にボブのWebサイトなのか?ということを、証明書が教えてくれるのです。

アドレスバーの左の鍵マークをクリックすると、その証明書が証明する内容を表示してくれます。(Chromeの場合、「鍵マーク」→「証明書」→「詳細な情報」の順にクリックしてください)
証明される内容は証明書の種類によって違います。詳しくは、以下の記事をご参照ください。

運転免許証とSSL証明書の比較図

運転免許証の場合は、公安委員会がボブであることを証明してくれました。一方、ボブのWebサイトかどうかは、Webサイトが返した証明書が本当にボブのものである、ということを誰かに教えてもらえれば良さそうですよね。
ここで公安委員会に相当する立場は、CA(Certificate AuthorityまたはCertification Authority)と呼ばれていて、日本語では認証局あるいは公開鍵証明書認証局といいます。

認証局は厳しい審査を受けて運営を認められている組織なので、信用できる第三者と考えられます。
そして、その認証局がSSL通信の公開鍵(前回の記事では宝箱と南京錠)が正しいものであるという認証を行います。
その証が「SSL証明書」なのです。

運転免許証というシステムを信用してるから、運転免許証によりボブだと確認できるように、信用できる認証局が証明書は正しいと言ってくれれば、SSL証明書に記載されている内容が正しいこと、すなわちアクセスした先がボブのWebサイトであることを確認できる、というわけです。

有効期限にもご注意を

当然、証明書の有効期限が切れている場合は、今時のブラウザは警告を出してくれます。

アリス:「ボブ様、大変恐縮ですが確認をさせていただいたところ、こちらの免許証は有効期限が切れているようです」

ボブ:「え!、ほんとですか?!」

アリス:「はい。半年ほど前に切れているようです。。。」

ボブ:「メェーーーー!!!」

アリス:「こちらの免許証のコピーをとってしまったので、破棄させていただいてよろしいでしょうか?」

ボブ:「メェ」

コピーを食べるアリス


SSL通信における「通信の暗号化」の仕組みについてはこちらの記事をご参照ください。

Getting Betterとは

企業の忙しいWeb担当者の方のために、コーポレートサイトやオウンドメディアの運営に欠かせない情報やトレンド・ノウハウを解説するブログです。

日々のサイト運営のご参考になれば幸いです。

IMAGICA Lab.のWebサイト構築サービスについてはこちら
https://www.imagica-imageworks.co.jp/web/

「株式会社IMAGICAイメージワークス」は、2018年10月1日に「株式会社IMAGICA Lab.」となりました。

トップへ