(1) SSLとは?簡単に仕組みや種類についてご紹介
(1-1) SSLとは?
(1-2) ハッカーの手口について
(1-3) SSL証明書の種類
(1-3-1) EV証明書(Extended Validation)
(1-3-2) 企業認証証明書(Organization Validated)
(1-3-3) ドメイン証明書(Domain Validation)
(1) SSLとは?簡単に仕組みや種類についてご紹介
(1-1) SSLとは?
SSLは「Security Sockets Layer」の略で、インターネットを安全に使うためのセキュリティの仕組みです。
みなさんがインターネットで使うウェブページのURLは「http://」と始まるものや「https://」と始まるものがあるのにお気づきでしょうか?この「s」が付いているサイトは「セキュア」でありSSLの証明書を使って「暗号化」されている事を意味しており、より安全性が高い事になります.
インターネットで「ウェブブラウザ」(=Google Chromeなど)と「ウェブサーバ」(=Webサービスを提供するマシン)との間の通信を暗号化して送受信する仕組みの事です。
「SSL証明書」を用いて暗号化する事で、転送される情報を第三者が読み書きする事を防ぐ事ができます。
(図111)イメージ図
(1-2) ハッカーの手口について
■SSLを使っていないと危険
みなさんが普段ネットショッピング等で何気なくウェブサイトを訪問して、フォームに情報を入力したりする行為も、ウェブサイトがSSLを使っていないセキュリティ性が低いサイトだと傍受されてしまう危険があります。
この傍受はハッカー用語で「中間者攻撃」(man-in-the-middle attack)と呼ばれています。
最も典型的な手口では、ハッカーがWebサーバに検出されない小さな傍受用のプログラムを配置します。そのプログラムは、訪問者がウェブページに情報を入力するまで待ち続け、入力が行われると傍受用のプログラムを有効化して、入力された情報をハッカーに送り返すように仕掛けします。
(図121)ハッカー攻撃のイメージ図
一方で、SSLで暗号化されているウェブサイトの場合、ブラウザはサーバにあるSSL証明書を確認した上で、接続を確立します。
そしてこの接続は「ブラウザ←→Webサーバ」間で送受信される情報を第三者が読み書き出来ない事を保証します。
(1-3) SSL証明書の種類
SSL証明書にはいくつか種類があります。今回は3種類ほどご紹介します。
(1-3-1) EV証明書(Extended Validation)
英語では「Extended Validation SSL Certificate」(EV SSL)と呼ばれています。この証明書は「南京錠」のマークに加えて「商号」や「国名」を表示しています。
(例)InternetExplorerの例
ただし、近年はGoogleChromeやFireFoxといったシェアの大きいブラウザであの緑のバーを表示しなくなりました。緑色のバーにあった情報は引き続き「南京錠」のマークを押下する事で確認ができます。
(例)GoogleChromeの例
(1-3-2) 企業認証証明書(Organization Validated)
英語では「Organization Validated Certificate」(OV SSL)と呼ばれています。
ブラウザ上の表示は「EV証明書」と同じで緑色の南京錠のマークに加えて「商号」や「国名」を表示しています。
この証明書では、その人(or組織)やドメインが実在するかどうかを検証します。セキュリティ的には中程度の暗号化を提供しており、ざっくり以下の流れで行います。
(1)認証局がドメインの所有者を確認する
(2)ドメインの所有組織が法的に正しい運用をしているかチェック
(1-3-3) ドメイン証明書(Domain Validation)
前述の2つと比較すると低レベルの暗号化になります。
ブラウザ上は緑色の南京錠が表示されます。
(例)
前述の2つと比べて申請等のハードルが低いのがメリットです。
この検証は認証局(CA)にDNSを追加するタイミングで起こります。この証明書では認証局(CA)は申請者がドメインを所有する権利があるかどうか?をチェックします。
