〇SSL/TLS通信を行うための電子証明書
SSL証明書とは、SSL/TLSの暗号化通信を行うのに必要な、電子証明書です。
SSL証明書はその他に、
- TLS証明書
- SSL/TLS証明書
- SSLサーバ証明書
- サーバ証明書
- SSL電子証明書
等とも呼称されます。
〇SSL証明書の認証レベルと信頼性の違い
SSL証明書にはドメイン認証(DV)、組織認証(OV)、EV認証(EV)の3段階の認証レベルがあります。
認証レベルによって、SSL/TLS暗号化通信の機能や強度に違いはありません。
しかしながら、認証レベルにより、
- 取得可能な対象
- 認証局による確認項目
が異なるため、発行されるSSL証明書の信頼性に大きな違いがあります。
3段階の認証レベルそれぞれの、取得可能な対象と認証局の確認項目、ウェブブラウザ(PC)でのSSL適用表示例は以下の通りです。
| EV認証(EV) | 組織認証(OV) | ドメイン認証(DV) | ドメイン認証 (一部の無償のもの) |
||
|---|---|---|---|---|---|
| ドメインの 使用権確認 |
○ | ○ | ○ | ○ | |
| フィッシング等 のリスク確認 |
○ | ○ | ○ | △ | |
| 取得可能な 対象が登記済組織 である必要性 |
○ | ○ | × (個人でも可) |
× (個人でも可) |
|
| 法的実在性確認 | ○ | ○ | × (なし) |
× (なし) |
|
| 物理的実在性確認 | ○ | × (なし) |
× (なし) |
× (なし) |
|
| 事業の存在/ 運営の確認 |
○ | × (なし) |
× (なし) |
× (なし) |
|
| アドレスバー の表示例 |
Safari 13 (iOS) |
 |
 |
|
|
| Chrome 81 (iOS) |
 |
|
|
|
|
| Chrome 81 (Win) |
 |
|
|
|
|
| Internet Explorer 11 (Win) |
 |
 |
|
|
|
| Microsoft Edge 80 (Win) |
 |
|
|
|
|
| Safari 13 (Mac) |
 |
 |
|
|
|
〇が多い程、SSL証明書の取得難易度が高くなっており、取得難易度が高い分、悪用されにくく、信頼性が高いと考えられます。
・ EV認証(EV)
世界的な認証基準である、「EVガイドライン」に基づいて実施される、最も厳格な審査が行われる証明書です。
取得に必要な手続きが多く、発行までに必要な期間は比較的長いですが、EV認証(EV)のSSL証明書を導入したサイトでは、対応しているウェブブラウザ(PCやスマートフォン、ブラウザ、バージョンにより異なります)では、アドレスバーに社名が表示されたり、緑色で強調表示され、サイトを訪れたユーザーは、一目でサイト運営元の組織名とEVSSLが導入されていることがわかります。
対応していないウェブブラウザでは、アドレスバーでの社名表示はされませんが、鍵マークをクリックすることで、発行先の社名を簡単に確認することができます。
取得可能な対象は、登記済みの組織に限定されており、個人では取得が出来ません。
EVでは法的・物理的実在性に加えて、事業の存在/運営の確認も行われるため、なりすましやフィッシングサイトでの利用目的で取得しようとする場合、非常に多くの手間と時間、費用が必要であり、また、足がつきやすくなる等リスクが伴うため、悪用するのは困難であると考えられます。
・ 組織認証(OV)
EV認証(EV)と同様に、登記済みの組織でしか取得ができませんが、確認・審査は、法的実在性までとなります。
そのため、EV認証(EV)と比較した場合、取得するまでの手間や期間は少なく済み、手軽に取得が可能ですが、ウェブブラウザ(PC)のアドレスバーの表示変化はありません。
表の表示例にある鍵マークから、証明書の詳細情報を表示して、企業名や所在地の確認ができます。
・ ドメイン認証(DV)
個人で取得が可能で、確認・審査項目はドメイン使用権の確認のみとなるため、短期間に手軽に取得することが可能です。
ドメイン認証(DV)は有償のもの、無償のものがありますが、とくに一部の無償のドメイン認証(DV)は、取得の手軽さから、なりすましやフィッシングサイトで利用される事例が数多く確認されています。
一部の無償のドメイン認証(DV)であっても、悪用が発覚した場合は失効されたり、ブラックリストへの登録がされ、再利用はできなくなりますが、発覚前であればSSL証明書として正常に機能します。
正常に機能する以上、ウェブブラウザでも警告表示はされなたいめ、サイトの運営元に悪意があるかないかの判断は困難でしょう。
ただし、有償のドメイン認証(DV)であれば、発行前になりすましやフィッシングサイトへの対策が行われています。
例えば、グローバルサイン社の場合は、
- アンチフィッシングワーキンググループで管理されているリスト
- Googleセーフブラウジングテクノロジーで検出されるリスト
- グローバルサイン社が独自に保有しているキーワードリスト
で審査を行い、不正申請の可能性がある場合は、人的に追加審査を行った上で発行されます。
そのため、一部の無償のドメイン認証(DV)と比べて信頼性が異なります。
ドメイン認証(DV)を利用される際でも、なりすましやフィッシングサイト対策がされている有償のものを選択されることをおすすめ致します。
〇SSL証明書の確認方法
SSL証明書の利用有無をウェブブラウザ(PC)で確認したい場合は、アドレスバーを確認します。
SSL証明書が正常に導入されている場合、主要なウェブブラウザ(PC)では必ず鍵マークが確認できます。
多くのウェブブラウザ(PC)では、鍵マークをクリックすることで、より詳細な情報を確認することも可能です。
その他、SSL証明書の商品によっては、ウェブサイトへ貼り付けるシールが配布されている場合があり、シールを確認することで、SSL証明書の適用と、認証レベルや運営元サイトの情報を確認することができます。
ウェブサイトを利用する際は、ウェブブラウザ(PC)のアドレスバーの鍵マークや、シールを確認し、信頼できるサイトか否かを判断しましょう。
ウェブサイトを公開する場合は、ユーザーに信頼してもらえるように、可能な範囲で認証レベルの高いSSL証明書を選択したり、シールを利用する等して、SSL証明書の利用と実在性をアピールし、ユーザーに安心して利用してもらえるようにしましょう。
