なぜSSL証明書が必要なの?
SSL証明書はホームページ(WEBサイト)のセキュリティの3つの根幹
- バックアップ
- SSL化
- WAF
のひとつであり、になるにとって非常に重要です。
ホームページのセキュリティはこちら
【2023年版】ホームページ(WEBサイト)のバックアップ完…
ホームページ(WEBサイト)のバックアップ、正しい方法で正しく実施できているでしょうか?やってはいるけど自信がない・・という方も多いかもしれません。この記事…
ホームページ(WEBサイト)のバックアップ、正しい方法で正し…
SSL証明書には2つの役割があります。
- 通信の暗号化
- なりすまし防止
通信の暗号化
SSL証明書の役割のひとつが「通信の暗号化」です。
SSL証明書には、暗号化通信に必要な鍵情報が含まれており、ブラウザとサーバ間で送受信される個人情報や決済情報などの通信データを暗号化することができます。
暗号化されたデータは、SSL証明書を導入したサーバで保持する秘密鍵のみでしか解読することができず、悪意ある第三者からの盗聴を防ぎます。
通信の暗号化は「盗聴」を防いでくれるよ!
なりすまし防止
SSL証明書のもうひとつの役割は「なりすまし防止」です。
SSL証明書は、認証局と呼ばれる組織が、
- ドメインの所有権
- ドメイン所有者(組織)の実在
を確認・審査して発行します。
SSL証明書が発行されているということは、ホームページが実在する運営者による本物である、という判断がある程度できます。
※ 証明書の種類によってはドメイン所有者(組織)の実在確認をしていないものもあります(後述)。
SSL証明書は3種類ある!
SSL証明書には以下3つの種類があります。
- DV証明書(ドメイン認証)
- OV証明書(組織認証)
- EV証明書(拡張認証)
これら3種類の証明書は、証明書の役割のひとつ、通信の暗号化についてはどの証明書を使っても同じ効果が得られます。
しかし、もう一つの役割「なりすまし防止」=信頼性においては、明確に差が出ます。
DV証明書(ドメイン認証)
認証レベル:★
DV証明書は、ドメインの管理権限を確認することで発行されるSSL証明書です。
組織情報の確認や、認証局からの電話確認を受けることなくSSL証明書が発行されますので、発行されたSSL証明書の属性に、組織情報が設定されません。個人による申請も可能です。
発行手続きが簡略ですので、信頼性は「それなり」となります。
発行には千円程度〜数千円かかるものもありますが、無料のDV証明書もあります。
Domain(ドメイン)を Validation(認証)するからDV証明書だよ!
お値段は安いかわりに信頼性はそれなりだよ!無料もあるよ!
OV証明書(組織認証)
認証レベル:★★
OV証明書は、組織情報の審査を経てから発行されるSSL証明書です。
発行には
- 企業データベースなどを利用した組織情報の確認
- 認証局から担当者への電話確認
などの、審査・手続きを経てSSL証明書が発行されます。
発行されるSSL証明書の属性に、組織情報が設定されますので、SSL証明書でサイト運営者の確認ができます。なりすまし防止対策として、DV証明書(ドメイン認証)よりもはるかに有効です。
発行には数万円かかります。
Organization(組織)をValidation(認証)するからOV証明書だよ!
お値段は高いけど信頼性も高いよ!
EV証明書(拡張認証)
認証レベル:★★★
実在認証(OV)よりも厳格な審査を経てから発行されます。
基本的にはOV証明書と同じく、申請者の実在確認を行いますが、多くのブラウザで企業名がより分かりやすく表示され、金融機関などでも広く採用されています。
また、発行先の組織だけでなく、発行元の組織も、第三者から審査されるという特徴もあります。
非常に厳格な審査を経て発行されますので、EV証明書が発行されているホームページ(WEBサイト)の信頼性は非常に高いといえます。
発行には十数万円かかります。
OV認証をさらに Extended(拡張)して Validation(認証)するからEV証明書だよ!
お値段は一番高いけど信頼性も一番高いよ!
| ドメインの認証 | 組織の認証 | 認証局の認証 | 認証レベル (信頼性) | |
|---|---|---|---|---|
| DV証明書 | ◯ | ✕ | ✕ | ★ |
| OV証明書 | ◯ | ◯ | ✕ | ★★ |
| EV証明書 | ◯ | ◎ | ◯ | ★★★ |
どの証明書を使えばいいの?
繰り返しになりますが、EV証明書、OV証明書、DV証明書のどれを使っても通信が暗号化できることに変わりはありません。
ですが、3種類のSSL証明書は、それぞれ認証レベルが違うことから、なりすまし防止効果に違いがあります。よって、ホームページにどれだけの信頼性を与えたいか、で、選択する証明書が変わってきます。
言い換えると、もしそのホームページやWEBサイトが偽造された場合、どれだけの被害が出るかで判断、とも言えます。
金融機関、ECサイトにはEV証明書
たとえば、銀行のホームページで、オンラインバンキングへのログイン機能があれば迷わずEV証明書が必要です。
また、個人情報や決済情報を入力するECサイトもEV証明書が必須です。
よく金融機関のホームページやECサイトはEV証明書が必要と言われていますが、これらのサイトが偽造された場合の被害を考えれば当然ですね。
一般企業、行政団体はOV証明書
企業データベースに登録されている一般企業や行政団体(都道府県や市町村)などのホームページの場合は、一般的にはOV証明書を利用します。
世界的に有名な企業でも、EV証明書ではなくOV証明書を利用していることがあります。
これには様々な理由がありますが、日本の企業の多くが .co.jp ドメインを利用しており、.co.jp ドメイン自体が、取得のために会社登記などの実在確認が必要となります。
つまり、.co.jp ドメインでOV証明書を取得していれば、認証レベルとしては十分という判断もあるでしょう。
小規模事業者、個人事業主はDV証明書
小規模事業者や個人事業主では、そもそもOV証明書の取得が難しい場合もありますので、DV証明書で運用することになります。
DV証明書にも、申請と簡単な審査を経て発行される、有効期限が1年で有料の証明書と、より簡単な手順で発行可能な、有効期限が3ヶ月の無料の証明書があります。
レンタルサーバーなどで利用できるSSL証明書は、無料SSLがほとんどです。
OV証明書を取得するかどうか未定、という場合は一旦DV証明書を利用して、その後必要に応じてOV証明書などに切り替えをすればよいでしょう。
上記OV証明書の項目でも触れましたが、.co.jp や .lg.jp ドメインであれば、ドメイン自体の発行に審査があります。よって、.co.jp や .lg.jp ドメインのホームページ(WEBサイト)であれば、たとえDV証明書であったとしても、ある程度の信頼感はあると判断してもよいでしょう。
SSL証明書の(種類別)信頼性と利用対象者
| 暗号化通信 | なりすまし防止 | 信頼性 | 対象 | |
|---|---|---|---|---|
| DV証明書 | ◯ | △ | ★ | 小規模事業者、個人事業主 |
| OV証明書 | ◯ | ◯ | ★★ | 一般企業、行政団体 |
| EV証明書 | ◯ | ◎ | ★★★ | 金融機関、ECサイト |
価格と発行期間
どの証明書を選ぶかの判断基準として、価格と発行までの日数も重要になります。
価格は、DV証明書 → OV証明書 → EV証明書の順に高くなり、
発行までの日数も、DV証明書 → OV証明書 → EV証明書の順に長くなります。
(例)GMOグローバルサインの DV証明書/OV証明書/EV証明書 価格比較
| 暗号化通信 | なりすまし防止 | 価格 | 発行期間 (審査手順) | 対象 | |
|---|---|---|---|---|---|
| DV証明書 | ◯ | △ | 安 (無料) | 短 (単純) | 小規模事業者、個人事業主 |
| OV証明書 | ◯ | ◯ | 中 | 中 (やや複雑) | 一般企業、行政団体 |
| EV証明書 | ◯ | ◎ | 高 | 長 (複雑) | 金融機関、ECサイト |
迷ったらDV証明書!
どの証明書にするか迷ったら、一旦は無料のDV証明書を利用しておきましょう。
証明書なしでホームページを公開することは、通信の盗聴リスクやSEOの低下など、デメリットしかありませんので、絶対に避けましょう。
証明書はいつでも差し替えができますので、DV証明書で運用しつつ、必要と判断すれば他の証明書に差し替えるのがよいでしょう。
SSL証明書の種類の違いは、なりすまし防止効果(信頼性)の違いだよ!
ホームページにどれくらいの信頼性を与えたいか?で選ぼう!
OV証明書が必要な理由
どんなホームページ(WEBサイト)であれ、悪意ある第三者にとって、本物とほぼ同じ見た目の偽造サイトを作成することは、技術的にそれほど難しいことではありません。もちろん同じドメインはとれませんが、似たようなドメインを取得し、インターネット上に公開することが可能です。
ただ、このような場合でも、SSL証明書は偽造することが困難です。
フィッシングサイトや偽造サイトでは、大抵DV証明書が利用されています。DV証明書はドメインの所有権さえ確認できれば発行されますので、本物と似たようなドメインを取得してDV証明書を取得するのは簡単です。
しかし、OV証明書の場合、上で説明したように、実際に申請者(担当者)に電話確認を行ったり審査がありますので、悪意ある第三者が取得することは容易ではありません。
よって、ホームページ(WEBサイト)が本物であるかどうかの判断材料として、OV証明書(EV証明書)は非常に有効ということになります。
上場企業でもDV証明書を利用しているケースが散見されますが、コストと会社の信用を考えれば、OV証明書は決して無駄とはいえないと思います。
DV証明書でも暗号化通信はできているので、高価なOV証明書やEV証明書は必要ない、と言われることもありますが、DV証明書ではなりすまし防止の効果が薄いのです。
通信の暗号化はどの証明書を使っても同じですが、なりすまし防止の効果には明確に差がある、ということです。
以上、SSL証明書の必要性とSSL証明書の種類、どの証明書を使えばよいかを見てきました。
繰り返しになりますが、SSL証明書はホームページ(WEBサイト)のセキュリティにおいて、最も重要な項目のひとつです。
SSL証明書なしでのホームページ公開は絶対に避け、安全な運用を心がけましょう。
まとめ
まとめだよ。
● SSL証明書の役割は主に
- 通信の暗号化
- なりすまし防止
の2つだよ。
● SSL証明書の種類は
- DV証明書(ドメイン認証)
- OV証明書(組織認証)
- EV証明書(拡張認証)
の3つだよ。
● SSL証明書の種類の違いは、なりすまし防止の効果の差で、
EV証明書 > OV証明書 > DV証明書
の順に効果が高いくなります。