地域や企業にデジタルトランスフォーメーションを実現するための情報をお届けします

SSLサーバー証明書の種類、そしてどれを選択すべきか

コラム・連載

[前回](http://www.keikakuhiroba.net/bp/sixapart/ssl/index.html)は常時SSLについて案内させていただきましたが、今回は「SSLの種類」について改めてお話させていただきます。
今日のインターネットの世界で「SSL」はすっかり馴染み深いものとなり「最新のキーワード」とは普段感じませんが、今でもIT界隈の記事で「SSL」についての記事が発信されていない日はないのではないでしょうか。
現代社会の中で、インターネットでの活動量は増すばかりで、その中での「SSL」の重要性も当然比例して増していきます。その中で、よりセキュアなものを求めて「SSL」も技術的な進化をし、そして種類が増えていくこととなりました。
それらの種類について知り、ウェブサイトを運営する企業側はどれを選択すれば良いのか、まとめていきましょう。

## SSLサーバー証明書の役割

SSLとは、簡単にまとめると「インターネット上で通信を暗号化する技術」であることは前回お話した通りです。
これはつまり「セキュアに情報をやりとりするための技術」です。そこに**「ウェブサイトの運営者の身元保証」の役割をも持ったものが「SSLサーバー証明書」**です。
この「SSLサーバー証明書」は、シマンテック、ジオトラスト、グローバルサインといった信頼のおける第三者機関「認証局」が発行します。
通信データが暗号化されていても、そのウェブサイトの運営者が悪意のあるものであったらどうしようもありません。(えてして、悪意のあるものほど、「きちんとした」フリをしてくるのですから)
そこで**「SSLサーバー証明書」によって「運営者の身元保証」をする**ことでより安心して、情報のやり取りが出来るわけです。
つまり「SSLサーバー証明書」には
・通信データの暗号化
・ウェブサイト所有者の確認
といった二つの役割があるということです。

## SSLサーバー証明書の種類とは

では、今回のテーマ「SSLサーバー証明書の種類」ですが、種類によって「通信データの暗号化技術」が変わるのでしょうか?
いいえ、そうではありません。
「ウェブサイト所有者の確認」という、**ウェブサイトの「身元保証の認証レベル」の違いが「SSLサーバー証明書の種類」の違い**、なのです。

## SSLサーバー証明書の比較

では実際に、どんな種類があるか見ていきましょう。
・ドメイン認証型SSLサーバー証明書
・企業認証型SSLサーバー証明書
・EV SSLサーバー証明書
これら三つの種類があります。どれを選ぶかは、ウェブサイトでどんな情報を扱って運営しているか、そして予算、によることとなります。
### ドメイン認証型SSLサーバー証明書
ドメイン使用権をSSLサーバー証明書の所有者が所有していることを認証するものです。
一番簡単で個人でも取得が可能であり、かつ低価格、発行までに時間もかかりません。
仕組みとしては、証明書に記載されるドメイン(コモンネーム)は偽装が出来ません。
この偽装が出来ないことから、ユーザーが sslhoge.com にアクセスして、証明書のコモンネームがsslhoge.com と表示されていれば、このドメインの所有者のサイトにアクセスしていると信頼が得られる訳です。
実際に、FirefoxでSSLサーバー証明書のコモンネームを確認する方法を紹介しておきましょう。
1. https 表示されているサイトのURLバーの鍵マークアイコンをクリックします。
2. 出てきたポップアップから「詳細を表示」をクリックします。
3. 「セキュリティ」タブの「証明書を表示」をクリックします。
4. 証明書ビューア内に「一般名称(CN)」という項目を確認します。
この「一般名称(CN)」がコモンネームです。
あなたが今アクセスしている、httpsサイトのドメインと同じURLが表示されている筈です。
ただ、この**「ドメイン認証型」はこのようにドメイン使用権を確認しているに過ぎません**ので、その所有者が実在するかどうかまでは審査をしていません。
### 企業認証型SSLサーバー証明書
ドメイン使用権の有無だけでなく、その**所有者の実在性を確認するのが「企業認証型」**です。
仕組みとしてはドメインの所有者を第三者機関(帝国データバンクといった調査会社など)の情報との照会を行い、電話による確認などを行います。
このように**「企業認証型」は第三者機関の情報とも照会されていることから、架空の組織でないことを証明**し高い信頼性を持つことが出来ます。
### EV SSLサーバー証明書
最も認証レベルが高いのがこの「Extended Validation SSLサーバー証明書」です。
これまでの二つの証明書は、認証局によってそれぞれの認証ガイドラインがあります。
あってはならないことですが、「甘い認証ガイドライン」の認証局が証明書を発行してしまうかもしれません。
SSLの重要性が求められる中、認証局が乱立し、そして競争の中で機械的に数分で証明書が発行出来るような時代になりました。
こういった「それぞれの認証ガイドライン」「機械的な証明書の発行」といった中で、国際的に「標準化された厳格な認証ガイドライン」が求められ、それを「CA/ブラウザフォーラム」という団体が「EVガイドライン」として策定しました。
EV SSLサーバー証明書は、ドメイン使用権の確認、実在性の確認だけでなく、実際にその団体が架空のものではなく、**現在も運営されている組織であるかまでを確認**します。

## どのSSLサーバー証明書を選ぶのか

では、どのサーバー証明書を選択すれば良いのでしょうか。
一番信頼性の高い「EV SSLサーバー証明書」であれば良いのでしょうか。
繰り返しとなりますが、**SSLはあくまでも「技術」のことであり、サーバー証明書は「運営者の身元保証」をしているもの**です。
そこから、自社ウェブサイトで発信している情報が何か、取り扱っている情報が何か、を考えて選択をすれば良いでしょう。
例えば、自社内のイントラネットや、自社製品の紹介サイト、ユーザーの個人情報を取り扱うようなサイトでないのであれば、「ドメイン認証型SSLサーバー証明書」で十分ではないでしょうか。
ユーザーがサイトで買い物をしたり、個人情報の入力が多いサイトであれば、その情報を正しく責任を持って取り扱う、として「企業認証型SSLサーバー証明書」の選択が望ましいでしょう。
「EV SSLサーバー証明書」となると、かなりの高額になりますし、保険や金融といった商品を扱い、且つユーザーの深度の高い個人情報を扱う場合はこちらでしょう。

実際に、一般的な企業であれば、「ドメイン認証型SSLサーバー証明書」か「企業認証型SSLサーバー証明書」の選択になるかと思います。
ウェブサイトでどんな情報を取り扱っているか、で「SSLサーバー証明書」を選択する、ということは、反対に**「このSSLサーバー証明書だから、取り扱う情報レベルはここまで」と、ウェブサイト内での取り扱う情報基準を決める**ことでもあります。
同時に、「ドメイン認証型」でサイトを運用していたけれど、取り扱う製品や情報が広くなれば、「企業認証型」に見直す必要があることにもなります。
**「SSLサーバー証明書」は導入したらそれで最後、ではなく、自社ウェブサイトの進化に合わせた適切な「SSLサーバー証明書」の選択が必要です。**
その為にも、SSLサーバー証明書の「種類」が、どういった基準で決められているかを知るのは、ウェブサイトの運用で重要なことなのです。

SNSでフォローする