SSL証明書とは

SSL証明書とは？

Webサイトを閲覧するとき，サーバとのやりとりを行う．
その際，データが送受信される．そこで第三者がその内容を盗聴したり，改ざんしたりするリスクが生じる．そこで，SSL/TLSを使用しブラウザとサーバ間のやり取りを暗号化することで，防ぐことを行う．
暗号化する際，「認証局(CA)」により電子証明書が発行される．電子証明書により，通信データの暗号化，サイトの運営者・通信相手が偽物ではなく正当に実在することの証明が可能．
SSL/TLSサーバー証明書には，名称にあるSSLの技術は使われておらず、SSLをもとにして開発されたTLSの技術が用いられる．SSLには過去に脆弱性が発見され，現在ではセキュリティ対策に用いられていない．だが，過去に使われていたことから，現在でも名称に「SSLサーバー証明書」「SSL証明書」と表記されるケースが多く見受けられる．

暗号化通信とは

暗号化と復号化は「鍵」の技術を用いて行われる．ファイルを暗号化する際に鍵を使い，復号化する場合にも鍵を使って暗号を解く方法で，送受信するデータの保護が行われる．

SSL証明書の暗号化には，「公開鍵暗号方式(PKI)」と「共通鍵暗号方式」の2種類の仕組みがあある．
・公開鍵暗号方式はファイルの暗号化・復号化の際に異なる鍵を用いる方式．鍵が1つだけではないため，暗号データが復号され、情報漏えいするリスクが低いメリットがある．
・共通鍵暗号方式は，暗号化と復号化の両方に同じ鍵を用いて行う方式である．送信者，受信者が同じ鍵を用いるため，公開鍵暗号方式よりも鍵が流出してしまう確率が高くなる．

実在証明

SSL証明書には，サイトの運営者(組織)が正当に実在することを証明する役割もある．信用度の高い認証局が審査を行い，実在性が認められた場合にのみ発行されるため，運営者の身元が保証される．
SSL証明書を設定しているサイトではURLが表示されるアドレスバーの左に鍵型のアイコンが表示される．鍵アイコンをクリックすると接続の保護の状態や，組織名，住所，証明書の有効期間といったさまざまな情報が確認でき，安全な接続先だとわかる．

SEOの改善

サイトがSSL証明書で保護されているかどうかは．主要な検索エンジンで検索上位に入る条件の1つである．検索エンジンは安全で有用なサイトを検索上位に入れているため，SSL証明書によって検索エンジンから安全なサイトと認識されると検索時の優位性も向上する．一方、SSL証明書を取り入れていない場合は．検索エンジンに安全性が低いと判断されて検索順位で上位に入るのが難しくなる．
SSL証明書は．サイトを常時SSLに変え．HTTPS化するために必要である．HTTPS化されると，表示速度を高速化するプロトコル「HTTP/2」への対応が可能になる．HTTP/2では，ブラウザーの種類などのHTTPヘッダー情報を圧縮，必要なデータだけを送信できるため，通信サイズを軽減してレスポンスの向上につながる．

SSL証明書発行の仕組み

SSL証明書は，ブラウザーとサーバーのやり取りの際に発行される．ユーザーがサイトにアクセスした場合．ブラウザーからのリクエストに対してサーバーが証明書を発行し，証明書の検証後に暗号化通信の送受信が行われるのが，SSL証明書を設定しているサイトの仕組み．証明書発行から暗号化通信までの大まかな流れは，以下の手順となる．
【SSL証明書の発行・暗号化手順】

1. ブラウザーがサーバーにSSL通信をリクエスト後，サーバーが公開鍵とSSL証明書を送信(秘密鍵を保持)

2. ブラウザーがSSL証明書を検証(SSL証明書と通信相手のドメインの一致を確認)

3. ブラウザーが共通鍵を作成し，共通鍵をサーバーへ送信

4. ブラウザー側でフォームなどに入力したテキストを暗号化してサーバーに送信

5. サーバーが保持していた秘密鍵で共通鍵を復号し、共通鍵を用いてデータを復号

認証の種類

ドメイン(DV)認証

「ドメイン(DV：Domain Validation)認証」とは．申請者がインターネット上の住所となるドメインを所有していると確認された場合に，発行される証明書のこと．かかる費用は年間3万5,000円ほどで，3種類あるSSL証明書のなかで最も安価に取得できる．
Webで申請が可能で，申請から発行までにかかる時間も1日程度と短く比較的手軽に取得できる認証方法である．
ドメイン認証では通信の暗号化＋ドメインの所有証明のみが可能で，サイト運営者の実在証明はできない．
また．個人での取得が可能なSSL証明書はドメイン認証のみとなる．

企業実在(OV)認証

「企業実在(OV：Organization Validation)認証」は，ドメインの所有と，サイトを運営する企業が実在することを証明できるSSL証明書である．企業実在認証では，帝国データバンクなどの第三者データベースに掲載されている企業情報と照合して，申請企業が法的に存在することを確認する．第三者データベースで申請企業が確認された場合，代表電話番号への連絡で申請者確認が行われ，申し込みの意思確認後にSSL証明書が発行される．
企業実在認証にかかる費用は年間6万円ほどで，ドメイン認証より高額である，また，発行までにかかる時間も1日～1週間程度を要する．

EV認証

SSL証明書のなかで、最も信頼性が高い認証方法が「EV(Extended Validation)認証」である．EV認証では，世界標準の認証ガイドラインにもとづいた厳しい審査が行われる．審査後，ドメインの所有，組織の実在性，組織の運営，証明者の確認などが認証される．
認証にかかる費用は年間13万円ほどで，申請してから発行までに2週間以上かかるケースもある．ほかの認証方法よりも信頼性が高い分，費用は高額になっている．ネットショッピングサイト・金融機関・証券会社などの決済ページや，フィッシングサイトが作成されやすい大手企業・有名ブランドのオフィシャルサイトなどに適した認証方法である．
EV認証を利用しているサイトでは，アドレスバーの表示が緑になるなど表示方法にも違いが生じる．

SSL証明書の取得方法

認証局に申請してSSL証明書を取得するには、CRTファイルを認証局に渡して手続きを行う必要があります。SSL証明書を取得して利用開始するまでの流れは、以下の通りです。

1. 秘密鍵を作成

2. 秘密鍵を使用してCSR（※）を生成

3. 生成したCSRを認証局のブラウザーに貼り付けして申し込む

4. 認証局から承認メールが届いたら承認し、SSL証明書を発行してもらう

5. 秘密鍵とSSL証明書をサーバーに設定し、再起動する

6. SSL証明書が正しく設定できているかテストする

※ Certificate Signing Request：証明書署名要求

SSL証明書の確認方法

サイトにSSL証明書が導入されているかどうかは、ブラウザーのアドレスバーを確認するとわかります。URLに「Secure」の「s」がついて「https://」で始まっている場合は、SSL証明書が導入されています。
前述の通り、アドレスバーの左に鍵アイコンが入っている場合にもSSL証明書が導入されているとの判断が可能です。鍵マークをクリックすると、サイト運営者も調べられます。
対して、サイトのURLとSSL証明書のドメイン名などが異なっている場合や、有効期限が切れている場合、ブラウザーから認められていない認証局で証明書を発行した場合には、アドレスバーに「保護されていない通信」と表示されます。SSL証明書が導入されていない状態のため、「プライバシーが保護されません」といったメッセージの警告画面が表示されるケースもあり、サイトの安全性が保証されません。

参考文献

SSL証明書とは? 発行の仕組みと種類 | NTTコミュニケーションズ 法人のお客さま

https（SSLサーバ証明書）は必要なの？httpsとhttpの違いや認証や暗号化の仕組みを解説