こんにちわ。インフラエンジニアのかっさんです。
以前この場を借りてSSLサーバ証明書(サーバ証明書)はどういうものかに関してお話ししましたが今回は少し踏み込み、SSLサーバ証明書の種類や構造に関してお話ししようと思います。
ちなみに前回の記事はこちら。
【サーバ証明書】初心者でもわかるサーバ証明書でのセキュリティ強化! その①
前回と同様、始めてSSLサーバ証明書に携わる方向けになりますので、有識者の方は物足りないかもしれませんがお付き合いください。
SSLサーバ証明書の種類について
SSLサーバ証明書には以下の3種類があります。
証明書購入時には、基本的には以下の3種類から選択することになりますので、用途に合わせて選択しましょう。
ドメイン認証
Domain Validated (DV)
ドメインに登録されている登録者の確認のみで発行される証明書です。
基本的には申請に書類提出等の必要はなく、web上で手続きが完結されます。
メリット:申請から発行までが迅速である。また、価格も比較的安価である。
デメリット:手続きが簡単な分、他の証明書に比べ信頼性は低い。
企業実在認証
Organization Validated (OV)
電話番号確認の実施、また印鑑証明書等、企業の存在を証明する書類の提出をもって発行を行います。
このことから企業が実在する、ということがSSL証明書から確認できます。
メリット:企業が実在することが証明される。
デメリット:企業向けの証明書になるため、個人での取得が出来ない。
EV認証
Extended Validation (EV)
組織の物理的実在性に加え、組織の運営、承認者・署名者の確認等より厳格な審査を行います。
企業の実在証明に加え、アドレスバーに組織名を緑色で表示します。
メリット:信頼性が高く、金銭のやり取り(ネットショップ、金融関連)等にも適している。
デメリット:申請に必要な項目が多いため発効までに時間がかかる。また、価格も高額になる。
以上のように信頼性の高いものになると、それに比例して価格や時間が増えていきます。
ただ、暗号化の強度という点に関しては3つとも違いはありません。
そのため、やみくもに信頼性の高いものを求めるのではなく、用途によって使い分けることが重要となります。
SSLサーバ証明書の階層構造について
続いてはSSL証明書の構造についてです。
SSL証明書は階層構造になっており、以下の種類で構成されています。
ルート証明書
最上位の証明書を「ルート証明書」といいます。
ルート認証局による自己署名を用いた、自らの証明書を指します。
自分で「私、良い人だよー」と保証することが許されているのが認証局(ルート認証局)で、その認証局が発行した自分自身の身元を証明する身元証明書(電子証明書)を指します。
中間CA証明書
間に挟まっている証明書を「中間CA証明書」といいます。
ルート認証局の署名を照合する際に使用します。
尚、ルート証明書との違いは自らの認証が出来ないこと(「私、良い人だよー」と言えない)です。
その代わり、ルート証明書と下記のサーバー証明書との仲介を行い、セキュリティの強化に一役かっています。
サーバー証明書
ドメインに紐付く証明書を「サーバ証明書」といいます。
サーバ証明書はドメインと通信先のサーバが一致することを担保するものになります。そのため、サイト内容の合法性などを担保するものではありませんので、注意が必要です。
また、呼びやすさからSSL証明書全てを含めてサーバ証明書と呼ぶことがありますが、正確にはサーバ証明書はドメインに紐づく証明書を指します。
そして、これらの証明書全体を指して「SSL証明書」と表記します。
まとめ
ここまでSSLサーバ証明書に関してお話ししましたが、仕組みを把握していれば導入は比較的簡単ですので、是非自社や自身のサイトのセキュリティ強化の一環として、また自身がアクセスしたサイトの信頼性について、参考になれば幸いです。