今さら聞けない?SSL証明書にまつわるエトセトラ(2019年6月27日追記)
SSLと聞くと通信の暗号化というイメージが強いですが、もう一つの重要な役割として「サイト運営者の実在証明」があります。
特にフィッシングサイトによる詐欺被害の広がりに伴い、この実在証明が通信の暗号化以上にセキュリティ対策として意味を持つようになりました。
サイト運営者の実在を証明するのが「SSL証明書」。
どれも同じように見えますが、認証局や認証のプロセスによって実は大きな違いがあるのです。
SSL証明書って?本当に簡単なおさらい
SSL証明書とは、「第三者機関が発行する電子証明書」のことを指します。
ここで言う第三者機関とは認証局と呼ばれる組織で、シマンテック社やグローバルサイン社などが代表的です。
認証局から発行された証明書がインストールされているWebサーバなら、通信が傍受されにくい暗号化通信が実装できます。
※SSL通信の仕組みについてはこちらのブログ記事もご参照ください。
SSL通信についてわかりやすくイラストにしてみました
ただし、この認証局がそもそも「信用に足る認証局」でないとセキュリティとしては十分とは言えません。
SSL証明書を使っているフィッシング(詐欺目的の)サイトである可能性もあるためです。
SSL証明書の3つの認証レベル
SSL証明書は発行のプロセスでどのような審査を行っているかによって、3つの認証レベルに分かれます。
1.ドメイン認証
ドメインが実在しているか、までを確認し発行される証明書です。
簡単に取得はできますが(個人でも取得できます)企業の実在証明にはなりません。
2.企業認証・組織認証
ドメイン所有者の情報(Whois情報)から組織の実在情報を第三者機関(帝国データバンクなど)に照会し、実在確認を行います。
3.EV(Extended Validation)認証
フィッシングに代表されるSSL悪用の増加を受け、組織に対する審査方法を世界で統一的に定めたSSL証明書です。
第三者機関への照会に加え、企業や組織の実在を証明する手続きが必要となります。
企業なら迷うことなくEV SSL導入を!
EV認証(以下「EV SSL」)は金融機関や大手ショッピングサイトなど高度なセキュリティが求められるサイトから広がりましたが、コーポレートサイトでもEV SSLを導入する価値があります。
「企業の実在が証明できる」という観点では、実はEV SSL以外の選択肢はありません。
企業認証レベルでも十分と思われるかもしれませんが、世界標準の認証ガイドラインに基づくEV SSLとは認証プロセスの信頼度が異なります。
仮にそのドメインを所有している企業がペーパーカンパニーである場合、第三者機関への照会だけではその実態をつかむことが難しいケースもあるでしょう。
最近ではブラウザのアドレスバーに企業名が表示されるなど安全性・実在性が視覚的にわかるようにもなっており、ユーザーに向けた訴求という側面も見逃せません。
ITリテラシーやセキュリティリスクへの関心が高い(オンラインで株などの取引を行う投資家やIT関連の取引先といった)ステークホルダーに対して「セキュリティ対策をしています」というアピールにもなるはずです。
導入へのネックとなる価格に関しても企業が年間で負担する経費としてはそれほど高額な訳でもありませんし、ISO規格やプライバシーマークの取得といった対策とは比較するまでもないでしょう。
弊社でもSSL導入のご相談をいただいた際はEV SSL証明書をおすすめしています。
どの認証局のSSL証明書を取得する?
さて、SSL証明書導入の際にどの認証局の証明書を選ぶかは案外悩ましい問題です。
どれも同じように見える証明書も価格差がそれなりにあり、安価なのは魅力だけれど「安かろう悪かろう」では困るという心理も働きます。
そうはいっても暗号化の機能について、どのSSL証明書もほとんど差はありません。
EV認証であれば実在証明の基準も世界的に統一されているので、差別化要因もあまり見当たりません。
実装の点で一つ挙げるとするなら「ルート証明書がクライアントのデバイスにインストール済み」であるかどうかは確認しておいた方がよい場合があります。
SSL通信を実現する技術として「公開鍵認証(PKI)」という仕組みがあり、これはサーバにインストールされているSSL証明書(電子証明書)と照合するための「ルート証明書」がデバイス側に必要となります。
主要な認証局のルート証明書は多くのデバイスにプリインストールされており、特別な設定をしなくともSSL通信が可能となっています。
注意が必要なのはフィーチャーフォン(いわゆるガラケー)や古いモデルのPC・スマートフォンなどに対応する必要がある場合です。
新興の認証局が発効する証明書の中には古いデバイスにインストールされていないルート証明書もあり、こうしたケースではインストールされているルート証明書の認証局を選ぶ必要があります。
※どの認証局の証明書がインストールされているかはデバイスの設定画面などで確認できます。
サポートやオプションなども認証局によって差があります。
複数ドメインで導入が必要であれば、一つの証明書で対応出来るオプションは必須です。
しかしながら「安心を買う」という心理的側面も高いSSL証明書、やはり最後は安心感や信頼感といったブランド力が実際には決め手となるでしょうか。
SEOでも「ちょっとだけ」有利な常時SSL
SSLにまつわる最近のトレンドとして「常時SSL(フルタイムSSL)化」が挙げられます。
常時SSL化とはフォームなどの機密情報が送受信されるページだけでなく、サイトすべてをSSL化することです。
Googleが推奨したことで一気に導入が進んでおり、この流れが止まることはないでしょう。
そして検索エンジン上でもSSLを導入したサイトを(少しだけですが)優先的に表示させることを公にしています。
SEOにおいても常時SSL化したほうが(少しだけ)有利ということです。
さまざまなビジネスシーンでWebコミュニケーションが必須となった近年、企業の実在証明や安全な通信環境の提供は「当たり前」の条件となりつつあります。
万一セキュリティインシデントが発生してしまったときの損失の大きさと比べれば、EV SSL導入や常時SSL化にかかる費用は決して高くはないはずです。
※2016年9月9日時点のニュースで、ついにSSL対応していないサイトに対しては「安全でない」と警告を出す方針であることをGoogleが明らかにしています。
http://gigazine.net/news/20160909-chrome-mark-http-non-secure/
(追記:2019年6月27日)
すでに多くのブラウザでSSL対応できていないサイトには【保護されていない通信】というアドレスバー上での警告が表示されるようになっています。
新たな記事「SSL証明書」についてわかりやすくイラストにしてみましたの公開に合わせて追記しました。