Webデザイナーなら知っておくべき サーバ知識相談室

第3回 SSL証明書ビギナー歓迎! httpsから始まるURLの役割と仕組みを0から学ぼう

この記事を読むのに必要な時間:およそ 8.5 分

同じ「SSL証明書」という名前でも3つの種類がある

「SSL証明書」とひとくちに言っても,その実態は3種類に分かれています。分かりやすくいうと「高い」⁠普通」⁠安い」の3種類で,それぞれ「EV証明書」⁠OV証明書」⁠DV証明書」という名前です。

種類 何を証明してくれる? 商品例
EV証明書(Extended Validation) Webサイト運営者の身元をより厳格に書類と電話で確認して証明 サイバートラストのSureServer EV
シマンテックのセキュア・サーバ ID EV
OV証明書(Organization Validation) Webサイト運営者の身元をメールと電話で確認して証明 サイバートラストのSureServer
シマンテックのセキュア・サーバ ID
DV証明書(Domain Validation) そのドメインの使用権があることを証明 RapidSSL

RapidSSLのようなDV証明書は,SSL証明書という名前で呼ばれていますが「Webサイト運営者の身元証明」は一切行いません。

ドメインの所有者を「Whois」と呼ばれるドメインの登録者情報で確認し,そこに書いてある所有者のメールアドレスに対して「このドメインのSSL証明書を発行していいですか?」と確認してくるだけです。ですから,ドメイン所有者が発行承認ボタンを押したら,それだけですぐに発行されます。

このようにDV証明書は,⁠ドメインの使用権があること」の確認と証明をするだけで,⁠誰がそのWebサイトを運営しているのか?」という身元確認及び身元証明はしてくれません。したがってDV証明書は,先ほどのIMJ銀行のように「身元の証明をしたい」ケースでは使う意味がありません。httpsで暗号化はしたいけれど,身元証明をする必要度はあまりない,開発用のテスト環境等で使用されることが多いです。

EV証明書とOV証明書の違いは何か?

DV証明書の役割は分かりました。では残りの2つ,⁠高い=EV証明書」「普通=OV証明書」の違いは何なのでしょうか。先ほど例として挙げた株式会社アイ・エム・ジェイのコーポレートサイトでは,⁠普通」のOV証明書を採用しています。

EV証明書とOV証明書は,DV証明書と違って,SSL証明書の2つの役割をきちんと果たします。

しかしOV証明書は,ブラウザの鍵マークをクリックして証明書を開き,その中の証明書情報を確認しないと,サイト運営者の名前が表示されません。分かりにくいと思いますので,実際の画面を見てみましょう。例えばFirefoxで見たとき,株式会社アイ・エム・ジェイのコーポレートサイトのお問い合わせ画面は次のようになります。

画像

驚かれるかもしれませんが,OV証明書の場合,ここにWebサイトの運営者名は表示されず,このサイトの運営者は不明ですになってしまいます。なぜならば「Webサイト運営者の身元をメールと電話で確認しただけで,確認度合いが低いため,身元証明がいまいち信用できない」とブラウザ(Firefox)が思っているからです。

鍵のマークをクリックした後に,⁠詳細を表示...」をクリックし,さらに「証明書を表示...」をクリックすると,ここで初めて運営者名として「IMJ Corporation」という名前が出てきます。EV証明書のように,⁠Webサイト運営者の身元を書類と電話でより厳格にチェックして証明」されたものでないと,ここには運営者の名前は出ないのです。

Firefoxの証明書詳細情報確認画面

画像

これは結構重要な問題です。つまり一見しただけなら,身元を証明しないDV証明書と,身元を証明するOV証明書は区別がつかないのです。先ほどのIMJ銀行の例に戻ってみましょう。IMJ銀行の広報担当が身元証明をするOV証明書を取得して,詐欺師が身元を証明しないDV証明書を取得した場合,次のようになります。

OV証明書とDV証明書はぱっと見ただけでは区別がつかない

画像

もちろん,証明書の情報をよく確認してもらえれば,片方が身元証明されていないことは分かるのですが,そんなことをするエンドユーザは滅多にいません。

そこで,ぱっと見ただけで「偽物と区別がつくようにしたい」⁠成りすましを防ぎたい」というときは,DV証明書でもOV証明書でもなく,EV証明書を使う必要があります。実際,三井住友銀行や三菱東京UFJ銀行を始めとする国内のネットバンクは,ほとんどがEV証明書を採用しています。

シマンテックのEV証明書を採用している三菱東京UFJ銀行のサイト

画像

またネットショップのように,クレジットカード情報を入力するサイトでも,EV証明書を採用するところが増えてきました。例えば山田養蜂場というはちみつや自然食品のオンライン販売をしているサイトでは,サイバートラストのEV証明書を使っているため,URLの左側にサイトの運営者名が日本語で出ています。また鍵マークをクリックすると,社名に加えて住所も表示されるため,どこのだれが運営しているサイトなのかがすぐに分かります。

EV証明書を採用している山田養蜂場のサイト

画像

ネットバンクやネットショップなど,偽物が出やすく,かつ偽物による被害が出た場合にダメージが大きいサイトでは,多少値段が高くてもEV証明書を使う意味があるということなのです。

このように「SSL証明書」という1つの名前でも,その中で「DV証明書」⁠OV証明書」⁠EV証明書」の3種類に分かれていて,値段が大きく違います。高いSSL証明書と安いSSL証明書がある理由が納得できましたか?

ハローワークのサイトが表示できなかった理由

さて,ここまで分かれば,最初に取り上げたニュースも大分違って見えるはずです。もう一度読んでみてください。

分かりにくい箇所を紐解いてみましょう。

ハローワークなどの政府関連のサイトでは,SSL証明書が必要なときはサイバートラストやシマンテックに頼んだりせず,GPKI認証局という「日本政府が運営する認証局事業者」に発行してもらっていましたが,そのGPKIの身元を保証するルート証明書がFirefoxに入っていなかったというのが,このトラブルの原因だったようです(蛇足ですがGPKIはGovernment Public Key Infrastructureの頭文字で,日本語に訳すと「政府の公開鍵暗号基盤」です⁠⁠。

Firefoxでハローワークのサイトを開くと,最初に,GPKI認証局が発行したハローワークサイトのSSL証明書と中間CA証明書が送られてきます。SSL証明書を確認したブラウザ(Firefox)「ハローワークのサイト運営者の身元はGPKIが保証している。だけどGPKIの身元を保証するルート証明書がないので,身元が保証されていない。よって,このサイトは安全かどうかを確認できないので表示してはだめだ!」という状態になってしまったというニュースだったのです。

最初に読んだ時よりは理解できたでしょうか。つまり,悪いのはハローワークではなく,日本政府が運営するGPKI認証局でした。Firefoxに対してきちんと「これがGPKIのルート証明書です。信頼できるか確認して,問題なければ⁠信頼できるルート認証局⁠のリストに入れておいてください」と頼んでおかなければならなかったのに,どうやらその手続きがされていなかったようです。

その点,サイバートラストシマンテックは,主要なブラウザメーカーに対して自分たちのルート証明書をきちんと渡す手続きを随時行っていますので,こうした信頼できる会社のSSL証明書を使っていれば,ハローワークと同じ障害は起きません。しかし極端に安いSSL証明書を使っている場合には,認証局事業者がGPKIのような不手際を起こす可能性がありますので,値段だけで判断せずに,信頼できる認証局事業者のSSL証明書を使うことがお勧めです。

Webサイトの運営者名を提示することで安心感を与えるためにも,フィッシング詐欺や個人情報の盗み見から利用者を守るためにも,今や資料請求や会員登録のあるWebサイト,ネットショップなどでSSL証明書は必須要件なのです。

SSL証明書に対する「よく分からないし,難しそう……」という苦手意識が少しでも減ったでしょうか。

エピローグ:画像とCSSの指定を相対パスにして壊れた鍵マークを直そう

Webデザイナー「なるほどね,SSL証明書って暗号化と身元証明のためのものだったのか」

エンジニア「そうなのよ。じゃあもうどこを直せばいいか,分かった?」

Webデザイナー「分かった! HTMLソースの中の<img>タグで,絶対パスになってるところを//から始まるように直せばいいんだろ?」

エンジニア「うん。あとCSSもね。それからYouTubeとかFacebookみたいな外部サイトの埋め込みコンテンツも,http://から始まる形式で埋め込んでないか確認してね」

Webデザイナー「オッケーオッケー。フロントエンドのHTMLコーディング担当者と話して直してくる。これで納品間に合うよ,ありがとう」

こうしてWebデザイナーの悩みが,また一つ解決されたのでした。

次回のお悩みは?

Webデザイナー「ポートフォリオサイトを開きたいけど,独自ドメインの付け方が分からない……」

次回のサーバ知識相談室は,SSL証明書とも密接な関係を持つ「ドメイン」についてご紹介します。ドメインってどこで買うの? Whois情報ってなに? ドメインを買っただけじゃサイトは見られないの? 分からないことだらけの「ドメイン」について学びましょう。

著者プロフィール

堀越良子(ほりこしよしこ)

株式会社アイ・エム・ジェイのインフラエンジニア。ウェブインテグレーションの下支えとなるサーバホスティングサービスの構築と運用を担当している。

モバイルサイトのエンジニア,SIerとソーシャルゲームの広報を経て,2013年より現職。「分からない気持ち」に寄り添える技術者になれるように日々奮闘中。