独自SSLとは SSLサーバー証明書&ハッシュ化アルゴリズム(TLS 1.2 / SHA-2)

トピック記事

更新履歴
 更新:2020/06/21
 制作:2019/09/07

POCKETALK S(ポケトークS)

74言語で双方向に通訳、カメラで撮って翻訳、さらに、会話レッスン機能

FamilyDot(ファミリードット)

居場所がわかる安心 GPS。 お子様やご老人に!
近年ではインターネットでの予約やショッピングが増えてますが、同時に悪意のあるハッカーやウイルスなどのネット犯罪の危険も増大しています。そのため独自のSSL/TLSを実装して通信を暗号することによって第三者による盗聴・改ざんを防ぐ必要があります。
このサイトではSSLをよく知っていただくために、特に独自SSLを中心に記述しています。 

SSL(TLS)とは

SSL(Secure Sockets Layer)とTLS(Transport Layer Security)はどちらもインターネットに流れるデータを暗号化して、送信と受信を可能にする仕組み(プロトコル)です。
個人情報やクレジットカード情報など重要なデータを暗号化することによって、第三者による盗取や改ざんを予防して、データ通信を安全に行えるようにしています。
なお、TLSはSSLの進化形ですが、両方まとめてSSLと呼んでいます。

SSL / TLS の変遷

バージョン 年次 変遷
SSL 1.0 Netscape社がSSLの最初のバージョンとして設計していたが、大きな脆弱性が発見されリリースされませんでした。
SSL 2.0 1995(平成7年) Netscape社のウェブブラウザであるNetscape Navigator 1.1においてSSL 2.0としてリリースした。
SSL 3.0 1996(平成8年) Netscape社はSSL 2.0の問題を修正するとともに機能追加を行い、1995年にSSL 3.0をリリースした。
TLS 1.0 1999(平成11年) 1996(平成8年)年5月、SSLをNetscape社からIETFへ移管され、TLSワーキンググループが結成。TLS 1.0が提供する機能はSSL 3.0とあまり変わらなかった。
TLS 1.1 2006(平成18年) TLS 1.0からの変更点は、新しく発見された攻撃手法に対する耐性の強化が中心であった。
TLS 1.2 2008(平成20年) SSL証明書の署名アルゴリズムにハッシュ化アルゴリズムがSHA-256(*1)に追加されたほか、ブロック暗号について安全性強化され、現在のところ脆弱性が見つかっていません。TLSは現在、1.2が推奨バージョンです。
TLS 1.3 2018(平成30年) 最新バージョンの 1.3では、暗号の強化が図られ、前バージョンの脆弱性の防御策が盛り込まれました。さらに、複数使用されている暗号化アルゴリズムが、新しいアルゴリズムに置き換えられました。

*1:WebブラウザとWebサーバ間でSSL(Secure Socket Layer)暗号化通信の電子証明書であるSSLサーバー証明書には、ハッシュ化の技術が使用されています。
 SHA-256(Secure Hash Algorithm 256-bit)は、256ビット(32バイト)長のハッシュ値を得ることができるハッシュ化アルゴリズムです。
 ちなみに、暗号化は元データを秘匿することが目的なので復元できますが、ハッシュ化は「パスワード保管」など復元する必要がない不可逆変換なので、元データを復元できないことになります。

SSLサーバー証明書

SSLで通信を行うには該当するサイトに「SSLサーバー証明書」を取得しインストールする必要があります。サーバー設定代行を頼んで行うこともできますし、自信があれば自分で行うこともできます。このサーバー証明書には運営元の信頼性に応じて、ドメイン認証SSL、企業認証SSL、EV認証SSLの3種類があります。
 SSLサーバー証明書を導入すると
 ・通信の暗号化(盗聴防止・改ざん): 暗号化強度
 ・ドメイン名や会社の実在証明
が可能になります。
尚、注意することはドメイン認証SSL、企業認証SSL、EV認証SSLの3種類とも暗号化強度は同じで、違いはドメイン名や会社の実在証明などの有無になります。

ドメイン認証SSL(DV)

ドメイン認証(Domain Validation)は、ドメインに登録されている登録者を確認するために発行されるSSLサーバー証明書です。安価でスピード発行されます。個人やお店などの小規模事業者などに最適です。

企業認証SSL(OV)

企業認証(Organization Validation)SSLは、ドメインに登録されている登録者を確認することに加え、Webサイトを運営している組織の法的実在性を証明するSSLサーバー証明書です。組織の法的実在の確認(帝国データバンクに企業情報がある法人、登録がない場合は登記簿謄本など)を行います。企業の認知度を高めサイトの信頼感をより高めたい場合に最適です。

EV認証SSL(EV)

EV認証(Extended ValidationSSLは、ドメインに登録されている登録者の確認と企業の法的実在性に加えて、所在地の認証を行います。具体的には、組織の物理的実在の確認(事業住所の確認、組織の運営の確認、承認者・署名者の確認など)を行います。また、ブラウザのアドレスバーが緑に、Webサイトの運営組織を表示するブラウザもあります。ECサイトなどフィッシング詐欺の標的となりうるサイトに最適です。
初心者が安心して契約できるレンタルサーバー
解説本に載っているレンタルサーバーの性能は如何に!

各種のSSL(言葉の説明)

各種のSSLを簡単に説明します。常時SSLは利用形態を、無料SSLや、有料SSL、共有SSL、独自SSLは SSLサーバー証明書を意味します。

常時SSL

常時SSLとは、サイト全体のページをSSL化させることを言います。
これまでは、IDとパスワードを入力してログインするページ、お問い合わせ・申し込みフォームなど個人情報を入力させるページなど、限られたページで使用するのが一般的でした。
それをサイト制作時から全ページをSSL化して、すべてのデータのやり取りを暗号化して通信を行うことを常時SSLと言います。
常時SSLでは、サイト全体を「https」化し、サーバーまでのすべての通信を暗号化するので、サイトと利用者との端末間のデータ傍受を防止できます。利用者側が「http://」でアクセスしてきた場合でもサイト側で「https://」に変換することも含みます。

無料SSL

無料で使えるSSLサーバー証明書を表します。例えば、Let’s Encrypt や標準独自SSL、それにレンタルサーバー会社が無料で提供している共有SSLなどがこれにあたります。

有料SSL

有料で使えるSSLサーバー証明書を表します。最もポピュラーに利用されています。

共有SSL

共有SSLは、レンタルサーバー会社が取得した SSLサーバー証明書です。複数の利用者で共有して利用しますし、SSLに関連する書類提出や面倒な手続きが不要です。
多くの場合、サーバー契約をすると標準機能として無料で使用できますが、最近では使用中止のレンタルサーバー会社も現れています。なぜなら、本来使う利用者自身のURLと共用SSLで使うURLが異なるので、使用する時はURLを切り替えて使う必要があります。それでは最近の常用SSLの流れに反するからです。

独自SSL

独自SSLとは、独自に取得したドメインに対して設定するSSLサーバー証明書のことです。取得したドメインにSSLを設定できるのでより常時SSL化が容易になります。ただセキュリティを厳格にすると運用コストが高くなります。
法人向け・共用レンタルサーバー 比較
失敗しない法人向けレンタルサーバーを慎重に比較してみた!

無料独自SSL

無料独自SSLとは、無料SSLと独自SSLとのSSLサーバー証明書のことです。ここではレンタルサーバーなどに紹介されている「Let’s Encrypt」を説明します。

Let’s Encrypt

Let’s Encrypt(レッツ・エンクリプト)は独自ドメインの所有者であれば、誰にでも簡単に取得できる ISRG(Internet Security Group)提供が提供する無料のドメイン認証型のSSLサーバー証明書です。
申請、確認、発行の手続きはすべてネットワーク上で自動的におこなわれているので、省力化・低予算化が図られています。
 ただ、一般の認証局であれ不正申請の可能性があると判断された場合は自動的に発行が保留となり、人的な追加審査が実施されフィッシング対策などが強化されていますが、Let’s Encryptはこの保留と追加審査が無いのでこの点が不十分とされています。

有料独自SSL

有料独自SSLとは、有料SSLと独自SSLとのSSLサーバー証明書のことです。以下に、SSL証明書ブランドのサービス名と価格を表示します。
 尚、価格についてはレンタルサーバーのキャンペーンなどで変動しますのでご自身で確認してください。

 DV:ドメイン認証SSL OV:企業認証SSL EV:EV認証SSL

SSL証明書
ブランド
サービス名 認証
レベル
価格(税抜き)
年額
サイバートラスト SureServer OV 75,000円
SureServer ワイルドカード OV 195,000円
SureServer EV EV 150,000円
JPRS ドメイン認証型 DV 10,900円
ドメイン認証型ワイルドカード DV 43,600円
組織認証型 OV 49,800円
組織認証型 ワイルドカード OV 99,600円
ラピッドSSL ラピッドSSL DV 4,300円
ジオトラスト クイックSSLプレミアム DV 31,300円
トゥルービジネスID OV 55,000円
トゥルービジネスID with EV EV 115,200円

デジサート
(旧シマンテック)

セキュア・サーバID OV 81,000円
グローバル・サーバID OV 138,000円
セキュア・サーバID EV EV 162,000円
グローバルサイン クイック認証SSL DV 34,800円
企業認証SSL OV 59,800円
EV SSL EV 128,000円
セコム パスポート for Web SR3.0 OV 55,000円
セキュアコア(*2) Core SSL DV 1,000円
ドメイン認証SSL DV 9,000円
企業認証SSL OV 19,000円
EV SSL EV 48,000円

*2:セキュアコアの販売パートナーとしてのエックスサーバーが提供している価格です。

まとめ

SSLサーバー証明書は種類が多くて、どれを選んだらいいのか迷ってしまいますね。ただ言えることは、サイトを運営するなら独自SSLを実装するのは避けては通れないということでしょう。個人やお店などはドメイン認証型(DV)を、会社やクレジットカード決済などは少なくとも企業認証型(OV)やEV認証型(EVを実装したいものですね。
■シマンテック SSL
有名ブランドSSL「シマンテック」を特別価格でご提供
ドメイン認証、企業認証、EV認証の豊富なラインナップをご用意
他社SSLからのお乗換えで1年間分無料
マルウェアスキャンが標準装備!
■ジオトラスト SSL
有名ブランドSSL「ジオトラスト」を特別価格でご提供
ドメイン認証、企業認証、EV認証の豊富なラインナップをご用意
他社SSLからのお乗換えで1年間分無料
優れたコストパフォーマンスと信頼性を両立!
初心者が安心して契約できるレンタルサーバー
解説本に載っているレンタルサーバーの性能は如何に!
法人向け・共用レンタルサーバー 比較
失敗しない法人向けレンタルサーバーを慎重に比較してみた!
クレジットカード決済に使えるレンタルサーバー
クレジットカード決済代行会社を選んでから、そこに最適なレンタルサーバーを選択しよう!
タイトルとURLをコピーしました