現在、インターネットは人々の生活に欠かせないものになっています。インターネットは、データを便利かつ迅速に送受信できるため、仕事上の通信、貿易や銀行の取引に使用されます。但し、インターネット経由でアクセスしているウェブサイトには隠れた脆弱性があるかもしれないので、セキュリティ上のリスクも高いです。ウェブサイト上の個人データが盗まれたり、ウェブサイト運営者が顧客情報を漏洩したりすることをよくニュースで聞いたこともあるでしょう。
今回はインターネット上で発生する可能性のある被害を防ぐSSL技術をご紹介します。 SSLは何年も前に開発され、これまで使用されている技術です。多くのインターネット使用者はSSLを見たことがあるかもしれませんが、それは何なのか、そしてどのように使われているか分からないでしょう。
SSLとは?
SSLの正式名称はSecure Socket Layerで、サーバーとWebブラウザー、又はアプリケーション間のインターネット上の通信やデータやり取りのセキュリティを強化するためのデータ暗号化技術です。現在はSSLの次世代規格としてTLS(Transport Layer Security)が使用されていますが、一般的にSSLと呼んでいます。SSLはHTTPSプロトコル、若しくはその他のセキュリティプロトコルを介して呼び出されます。
SSL証明書は、インターネットでデータを送受信するための電子セキュリティ証明書です。これは、サーバーの秘密鍵をデジタルで結び付けて、サーバーとウェブブラウザーまたはアプリケーション間のデータ送受信のIDと正確性を検証する小さなデータファイルです。
SSL / TLSを介して暗号化および復号化されるため、万が一データが盗み見されても、秘密鍵で暗号化されているため安全です。秘密鍵は、結び付けられているサーバーでのみ復号化できます。
SSLを導入すべき3つの理由
- ウェブサイト訪問者に向けてデータセキュリティを強化します。
SSL証明書は、インターネットでやり取りするデータの盗難を防ぐためのものではありません。ハッカーは様々なセキュリティの脆弱性を攻撃してデータを盗むことができます。しかし、重要な点は、盗まれたデータが暗号化されているため、見られたとしても解読することは難しいです。データを復号化するには、有効で一致する復号化できる鍵が必要です。 これがSSL証明書の役割です。
- ウェブサイトの信頼性を高めます。
ユーザーは、特に銀行、Eコマース、ホテル予約サイトなどのオンラインサービスを提供するウェブサイトに対して、個人情報、クレジットカード情報、パスワードなどを入力する必要がありますので、SSL証明書が導入されたら、より安心してオンラインサービスを利用できます。
- ユーザーのデータに発生する可能性のある損害を保証します。
ウェブサイトにSSL認証局のロゴ(サイトシール)を表示したら、セキュリティへの取り組みをユーザーにアピールできます。また、ユーザーのデータに損傷が発生した場合、各SSL証明書の条件によって損害を補償します。
SSL証明書の種類
- ドメイン認証型SSL証明書(Domain Validation / DV)
このSSL証明書は、他の種類と比べて簡単かつ迅速に取得できます。 申請手続きは約5分で完了します。SSLプロバイダーは、Eメールでドメイン名(ウェブサイト名)の所有権を確認し、証明書申請者が実際にウェブサイトの所有者であるか確認します。他の添付資料は必要ありません。
このSSL証明書は一般的に申請できます。 証明書を取得したら、ウェブブラウザのアドレスバーに緑色の鍵マークで表示されます。
- 企業認証型SSL証明書(Organization Validation / OV)
このSSL証明書は、ビジネス認証型(Business Validation / BV)とも呼ばれます。これは法人レベルのセキュリティ証明書です。この証明書を取得するには、その企業がドメイン名を所有していることを確認し、必要な添付資料を提出し、企業が本当に実在しているのかを確認する必要があります。発行が完了するまでに3〜4日かかります。 ドメイン認証型SSL証明書とは異なり、ウェブブラウザーのアドレスバーに表示される緑色の鍵マーク以外に、証明書には組織名が表示され、組織の実在性をアピールすることができます。
- 実在証明拡張型SSL証明書(Extended Validation / EV)
このSSL証明書を取得するには、DVやOVで行う認証に加えて、標準的な認証ガイドラインに基づき、さらに厳格な審査が必要です。例えば、企業が法的に登録されているか、企業の活動実態なども審査されます。審査手続きは約7~15日かかります。
この実在証明拡張型SSL証明書を取得したら、ウェブブラウザーのアドレスバーに緑色の鍵マークが表示され、アドレスバーが緑色になり、組織の名前がそこに表示されます。これにより、ウェブサイトの訪問者が簡単に気付くことができます。他の種類のSSL証明書よりも信頼性が高く、フィッシング詐欺などを防ぐことが可能となります。実在証明拡張型SSL証明書は、大企業や金融機関のウェブサイト、または高度な信頼性を必要とするウェブサイトに適しています。
- ワイルドカードSSL証明書
このSSL証明書には、DVやOVなどの検証プロセスが必要です。申請手続き期間は検証プロセスによります。一つのワイルドカードSSL証明書で指定されたドメイン名(ベースドメイン)に属しているサブドメインが有効に機能します。例えば、一つのワイルドカードSSL証明書で*.yourdomain.com、www.yourdomain.com、及びmail.yourdomain.comに利用できます。
SSL証明書でセキュリティを確認する方法
- 確認したいウェブサイトをGoogle Chromeで開きます。
- アドレスバーの左端にある南京錠のアイコンを確認します。アイコンの意味は次の通りです。
- 安全
- 保護されていない通信
- 安全ではない
- 南京錠のアイコンをクリックし、「Connection is secure」(この接続は保護されています)をクリックします。
- 「Certificate is valid」(証明書(有効))をクリックします。
- 証明書情報ダイアログが表示されますので、SSL証明書の詳細を確認できます。
ウェブサイトの所有者として、SSLでデータを保護することにより、ウェブサイトの訪問者の間で信頼を築くことができます。一方、ウェブサイト訪問者は安心・安全に様々なデータやり取りが行えるように、訪問しているウェブサイトが安全であるか確認する必要があります。
参照元:
https://netway.co.th/kb/ssl-certificate
https://contentshifu.com/blog/what-is-ssl