SSL証明書とは? 発行の仕組みと種類

SSL/TLSサーバー証明書とは?

「SSL/TLSサーバー証明書」は、SSL/TLSの技術を用いて「認証局(CA)」が発行する電子証明書のことです。SSL/TLSサーバー証明書を導入すると、通信データの暗号化や、サイトの運営者・通信相手が偽物ではなく正当に実在することの証明が可能です。
SSL/TLSサーバー証明書には、名称にあるSSLの技術は使われておらず、SSLをもとにして開発されたTLSの技術が用いられています。SSLには過去に脆弱性が発見され、現在ではセキュリティ対策に用いられていないためです。ですが、過去に使われていたことから、現在でも名称に「SSLサーバー証明書」「SSL証明書」と表記されるケースが多く見受けられます。

国民のためのサイバーセキュリティサイト

SSL証明書の役割

SSL証明書の役割や種類について記載された総務省の資料をもとに、暗号化通信や実在証明について詳しく解説します。

ウェブサイト認証(SSLサーバ証明書)の現状と課題

暗号化通信

SSL証明書には、インターネット通信時に送受信するデータを暗号化する役割があります。暗号化は、通信中の情報が悪意ある他者から盗聴されるリスクに備えるセキュリティ対策です。データを暗号化せずにテキストの状態のまま送受信すると、万が一社外に流出した場合に、読解できるテキストが第三者に渡って内容が漏れてしまいます。
SSL証明書を導入している場合には、内容が読解できないように暗号化してから送受信を行うため、もし社外にファイルが流出しても復号化してもとのテキストなどに戻すまではファイル内容の閲覧や改ざんができません。暗号化と復号化は「鍵」の技術を用いて行われます。ファイルを暗号化する際に鍵を使い、復号化する場合にも鍵を使って暗号を解く方法で、送受信するデータの保護が可能です。

SSL証明書の暗号化には、「公開鍵暗号方式(PKI)」と「共通鍵暗号方式」の2種類の仕組みがあります。公開鍵暗号方式は、ファイルの暗号化・復号化の際に異なる鍵を用いる方式です。鍵が1つだけではないため、鍵の流出によって暗号データが復号され、情報漏えいするリスクが低いメリットがあります。
共通鍵暗号方式は、暗号化と復号化の両方に同じ鍵を用いて行う方式です。送信者、受信者が同じ鍵を用いるため、公開鍵暗号方式よりも鍵が流出してしまう確率が高くなり、データ漏えいのリスクにより注意が必要です。

実在証明

SSL証明書には、サイトの運営者(組織)が正当に実在することを証明する役割もあります。信用度の高い認証局が審査を行い、実在性が認められた場合にのみ発行されるため、運営者の身元が保証されます。インターネット上のやり取りだけでは実際の相手を確認できませんが、SSL証明書を設定しているサイトなら運営者の実在性が保証されているため、安心してサービスの利用が可能です。

インターネット上には、ECサイトや金融機関のオフィシャルサイトなどにそっくりな、なりすましサイトやフィッシングサイトも存在します。カード情報や預金口座の情報などが盗まれるリスクを防ぐためには、実在証明は非常に重要です。
SSL証明書を設定しているサイトでは、URLが表示されるアドレスバーの左に鍵型のアイコンが表示されます。鍵アイコンをクリックすると接続の保護の状態や、組織名、住所、証明書の有効期間といったさまざまな情報が確認でき、安全な接続先だとわかります。

SSL証明書発行の仕組み

SSL証明書は、ブラウザーとサーバーのやり取りの際に発行されます。ユーザーがサイトにアクセスした場合、ブラウザーからのリクエストに対してサーバーが証明書を発行し、証明書の検証後に暗号化通信の送受信が行われるのが、SSL証明書を設定しているサイトの仕組みです。証明書発行から暗号化通信までの大まかな流れは、以下の手順の通りです。

【SSL証明書の発行・暗号化手順】

1. ブラウザーがサーバーにSSL通信をリクエスト後、サーバーが公開鍵とSSL証明書を送信(秘密鍵を保持)
2. ブラウザーがSSL証明書を検証(SSL証明書と通信相手のドメインの一致を確認)
3. ブラウザーが共通鍵を作成し、共通鍵をサーバーへ送信
4. ブラウザー側でフォームなどに入力したテキストを暗号化してサーバーに送信
5. サーバーが保持していた秘密鍵で共通鍵を復号し、共通鍵を用いてデータを復号

SSL証明書が必要な理由

データの保護

SSL証明書は、サイトの通信を自動的に暗号化する働きから、取り扱うデータを保護するために必要とされています。SSL証明書の暗号化によって、ECサイトや決済サイトなどで取り扱う重要な個人情報が送受信中の盗聴から保護され、安全性が高まります。
インターネット上のデータ保護は、顧客からの信頼向上にもつながる重要な取り組みです。セキュリティに関心の高い顧客は、自身の重要な個人情報を預けられるかどうかを判断する際、サイトのSSL証明書設置の有無に注目します。SSL証明書を導入している場合、アドレスバー上の鍵アイコンでデータが保護されていると一目でわかるため、データ保護を気にする顧客でもアイコンを見た際に安全性の高いサイトだと判断できます。

SEOの改善

サイトがSSL証明書で保護されているかどうかは、主要な検索エンジンで検索上位に入る条件の1つです。検索エンジンは安全で有用なサイトを検索上位に入れているため、SSL証明書によって検索エンジンから安全なサイトと認識されると検索時の優位性も向上します。一方、SSL証明書を取り入れていない場合は、検索エンジンに安全性が低いと判断されて検索順位で上位に入るのが難しくなります。
SSL証明書は、サイトを常時SSLに変え、HTTPS化するために必要です。HTTPS化されると、表示速度を高速化するプロトコル「HTTP/2」への対応が可能になります。HTTP/2では、ブラウザーの種類などのHTTPヘッダー情報を圧縮、必要なデータだけを送信できるため、通信サイズを軽減してレスポンスの向上につながります。

SSLサーバー証明書の種類

ドメイン(DV)認証

「ドメイン(DV：Domain Validation)認証」とは、申請者がインターネット上の住所となるドメインを所有していると確認された場合に、発行される証明書のことです。かかる費用は年間3万5,000円ほどで、3種類あるSSL証明書のなかで最も安価に取得できます。
Webで申請が可能で、申請から発行までにかかる時間も1日程度と短く比較的手軽に取得できる認証方法です。ドメイン認証では通信の暗号化とドメインの所有証明のみが可能で、サイト運営者の実在証明はできません。
主にドメイン認証が利用されているサイトは、個人ブログ、イントラネット内のサイト、FTPサーバー、グループウェアのサイトなどです。また、個人での取得が可能なSSL証明書はドメイン認証だけです。

企業実在(OV)認証

「企業実在(OV：Organization Validation)認証」は、ドメインの所有と、サイトを運営する企業が実在することを証明できるSSL証明書です。企業実在認証では、帝国データバンクなどの第三者データベースに掲載されている企業情報と照合して、申請企業が法的に存在することを確認します。第三者データベースで申請企業が確認された場合、代表電話番号への連絡で申請者確認が行われ、申し込みの意思確認後にSSL証明書が発行されます。
企業実在認証にかかる費用は年間6万円ほどで、ドメイン認証より高額です。また、発行までにかかる時間も1日～1週間程度を要します。ただし、企業実在認証を採用している場合、ドメイン認証の取得よりも高い信頼性が得られるため、個人情報を収集するサイトや、金銭のやり取りがないサイトに向いています。
よく利用されているのは、企業サイト、動画・音楽視聴サイト、SNS、ニュース・情報検索サイトなどのサイトで、ログイン画面や入力フォームでの利用にも適しています。

EV認証

SSL証明書のなかで、最も信頼性が高い認証方法が「EV(Extended Validation)認証」です。EV認証では、世界標準の認証ガイドラインにもとづいた厳しい審査が行われます。審査後には、ドメインの所有、組織の実在性、組織の運営、証明者の確認などが認証されます。
認証にかかる費用は年間13万円ほどで、申請してから発行までに2週間以上かかるケースもあります。ほかの認証方法よりも信頼性が高い分、費用は高額になっています。ネットショッピングサイト・金融機関・証券会社などの決済ページや、フィッシングサイトが作成されやすい大手企業・有名ブランドのオフィシャルサイトなどに適した認証方法です。
EV認証を利用しているサイトでは、アドレスバーの表示が緑になるなど表示方法にも違いが生じます。

SSL証明書の取得方法

認証局に申請してSSL証明書を取得するには、CRTファイルを認証局に渡して手続きを行う必要があります。SSL証明書を取得して利用開始するまでの流れは、以下の通りです。

1. 秘密鍵を作成
2. 秘密鍵を使用してCSR（※）を生成
3. 生成したCSRを認証局のブラウザーに貼り付けして申し込む
4. 認証局から承認メールが届いたら承認し、SSL証明書を発行してもらう
5. 秘密鍵とSSL証明書をサーバーに設定し、再起動する
6. SSL証明書が正しく設定できているかテストする

※ Certificate Signing Request：証明書署名要求

SSL証明書の確認方法

サイトにSSL証明書が導入されているかどうかは、ブラウザーのアドレスバーを確認するとわかります。URLに「Secure」の「s」がついて「https://」で始まっている場合は、SSL証明書が導入されています。
前述の通り、アドレスバーの左に鍵アイコンが入っている場合にもSSL証明書が導入されているとの判断が可能です。鍵マークをクリックすると、サイト運営者も調べられます。
対して、サイトのURLとSSL証明書のドメイン名などが異なっている場合や、有効期限が切れている場合、ブラウザーから認められていない認証局で証明書を発行した場合には、アドレスバーに「保護されていない通信」と表示されます。SSL証明書が導入されていない状態のため、「プライバシーが保護されません」といったメッセージの警告画面が表示されるケースもあり、サイトの安全性が保証されません。

SSL証明書には有効期限がある

SSL証明書は信頼性を維持するために有効期限が設定されており、期限切れになると、エラーが表示される、暗号化通信ができなくなるなどの問題が発生します。有効期限は、長くて1年程度です。有効期限がきた場合には、改めて設定し直さなければなりません。
サイトに設定していたSSL証明書の有効期限が切れた場合、発生するエラー表示は「安全ではありません」などです。サイトの訪問者からのアクセスをブロックしてエラー画面が表示されるため、サイトの閲覧はできません。有効期限が切れてしまうと、エラーメッセージによって訪問者から不信感を抱かれるリスクもあります。
SSL証明書の期限が近付くと事前に通知メールが届きます。有効期限までの期間が30日以内になると更新作業が可能になるため、契約している認証局などの更新手順を参考にして期限前に更新しておくと安心です。

関連するサービスのご紹介

インターネット接続のセキュリティを強化できるSuper OCN Flexible Connect

インターネット接続やデータの送受信には、SSL証明書の導入をはじめとする高いセキュリティが求められます。セキュリティの強化、迅速な通信を可能にする次世代インターネット接続サービスが「Super OCN　Flexible Connect」です。

Super OCN Flexible Connectは、通信品質や速度を保証しているギャランディ型のインターネット接続サービスです。申し込みや設定変更といった全ての操作をオンライン上で完結でき、短期間での導入が可能です。一時的に通信量が増える場合にも、柔軟に対応できます。接続方式は全ての通信を閉域網に経由させる「FIC接続タイプ」と、特定のサービスなどは直接インターネット経由で通信できる「アクセスラインタイプ」があり、自社のニーズに応じて選択可能です。通信経路は全て二重化されており、災害時にも強い設計となっています。

Super OCN Flexible Connect

各種クラウドやデータセンターとセキュアに接続するFlexible InterConnect

Flexible InterConnectは、データセンターやAWS・Azureなどのパブリッククラウドとの閉域接続を可能にするインターコネクトサービスです。回線や機器の管理は自社で行う必要がなく、オンプレミスもクラウドも閉域網で安全に利用可能です。
総合管理ポータル画面からは、AWS、Azureなど各クラウドを簡単に変更・追加可能であり、管理負担も軽減され、手軽にセキュアで安定したデータ接続を行えます。

Flexible InterConnect