SSL講座
2017年7月26日

#002|SSLの認証局と証明書とは?

まりなちゃん
先生、こんにちは!前回の「SSL講座 #001」で、SSLの役割については理解できました。

SS先生
今回は認証局についてですね。

まりなちゃん
認証局は「ドメインの持ち主や組織を証明してくれる第三者機関」…ですよね?

SS先生
はい、その通りです!
今回は、もう少し詳しく認証局の役割を見ていき、SSLがどのようなしくみで安心してインターネットを使えるようにしているかをご紹介しましょう。

認証局と証明書

前項では、認証局がドメインの持ち主や組織を証明してくれる第三者機関と説明していました。
本項ではもう少し詳しく認証局の役割を見ていき、
SSLがどのようなしくみで安心してインターネットを使えるようにしてくれているかをご紹介します。

実際にSSL通信を行うには、CSR、秘密鍵、サーバ証明書、中間証明書が必要になります。
CSRと秘密鍵はユーザが用意し、サーバ証明書と中間証明書は認証局が発行します。
認証局とは、この証明書を発行してくれる機関になります。

認証局の役割

認証局と申請者の関係を簡単な図にすると、以下のようになります。

このように、認証局は証明書が欲しい申請者の申請を受け付けて、
その申請者がドメインを持っているかどうかを確認して、証明書を発行してくれます。
これにより、自分がアクセスしているサイトはexample.jpだと保証された状態でサイト閲覧ができ、
なりすましや改ざんを防ぐことができるわけです。

ここに出てくるCSRとは、簡単に言うと発行して欲しいドメインや組織情報が記載された申請書のようなものです。

では、実際にサイトを閲覧する際に認証局がどのような役割を持つのかを見ていきましょう。

実際にサイトを閲覧する際には、サイト運営者は発行された証明書を閲覧者に渡します。
閲覧者は、その証明書が有効なものかどうか、認証局へ確認します(※)。
これにより、さらに安心してインターネットが利用できるようになるわけです。

※現在全てのブラウザがこの確認を行っているわけではありません。
また、失効確認にはいくつかの規格があり、確認方法が異なります。

整理すると、認証局の役割は以下のようになっています。

  • 証明書発行審査
    申請者が本当にそのドメインを管理しているかどうかを確認します。
    その際、証明書の種類によっては申請者の組織(企業、団体)が実在するかどうかの確認も行います。
  • 証明書の発行
    審査を通過した場合、実際の証明書を発行します。
  • 証明書の管理
    証明書の発行過程で問題があった場合、期間内であっても証明書を失効させるなどの措置を取ります。
    そのため、サイト閲覧者が証明書の有効性を確認するためのサーバを運営しています。
  • 鍵の管理
    暗号化通信するためにもっとも重要なルート証明書と対になる秘密鍵を管理しています。

まりなちゃん
うーん、認証局についてはなんとなく理解できたんですが…

SS先生
何か気になることがありますか?

まりなちゃん
さくらインターネットのサービスサイトを見ると、SSL証明書っていろんな種類がありますよね。
何か違いがあるのでしょうか?

SS先生
確かに、たくさんあって迷ってしまいますよね。
では、証明書の種類について説明しましょう!

証明書の選び方

さくらインターネットでは、SSLの証明書を販売しています。

「さくらのSSL」の一覧
https://ssl.sakura.ad.jp/specification.html

 

このように沢山の種類があり、値段も1年間で1,620円から、160,000円ぐらいのものまで、
いくつも種類があって迷ってしまうと思います。
まず、個人のホームページにSSLを設定するのであれば、一番安い1年1,620円のもので十分です。
ここで重要なのは、値段の高い低いは暗号化レベルには関係ないという点です。
どの証明書を選んでも、暗号の難しさはかわりません。

では、高価な証明書は何が違うのでしょうか。

各証明書の違い

ドメイン認証(DV)証明書 組織認証(OV)証明書 拡張組織認証(EV)証明書
アドレスバーの表示
各証明書の説明 ドメイン認証(DV)証明書とは、ドメインの管理者を確認することで発行される証明書です。 組織認証(OV)証明書とは、ドメイン認証に組織情報を追加した証明書です。 拡張組織認証(EV)証明書とは、最も高価で審査に時間のかかる証明書になります。
この証明書はドメイン認証、組織認証に加え、更に厳格な組織の存在確認が行われるため、鍵マークをクリック後の証明書欄に組織名が表示されます。

※各画像の表示は、Chrome上での表示となっております。

さて、ここまで証明書の種類をご紹介しましたが、個人で取得できるのはドメイン認証証明書のみとなりますので、
個人的なサイトをSSL化したい場合は、年額1,620円で利用できるラピッドSSLがおすすめです。
さくらのレンタルサーバをご利用の方は、サーバコントロールパネルから購入すると、
面倒なCSR作成や秘密鍵のインストールなどが自動で行われます。
詳しくはサポートサイトを確認してみてください。

企業サイトやECサイトを運営されている方には、ぜひとも拡張組織認証(EV)証明書をご利用いただきたいです。
Webサイトの運営者を明確にして、閲覧者により一層安心してサイトを利用いただけます。
さくらのSSLでは、SureServer EV for SAKURAという比較的安価に利用できる拡張組織認証証明書を販売しています。

SS先生
証明書の種類について説明しましたが、いかがでしたか?

まりなちゃん
はい、証明している内容が違うということがよくわかりました!

SS先生
その通りです!暗号化のレベルは変わらないということも覚えておいてくださいね。

まりなちゃん
はい!先生、ありがとうございました♪

認証局と証明書のまとめ

  • SSLを使うには証明書というものが必要になります。
  • 証明書を発行して、サーバの身元を保証してくれるのが認証局になります。
  • 証明書にはいくつか種類がありますが、暗号化レベルは変わりません
  • 高価な証明書だとアドレスバーに会社名を表示できるものもあります。

この記事で紹介されたさくらのSSLを使ってみよう!

さくらのSSL サービスサイトへ

さくらのSSL サポート情報

記事が気に入ったらシェアしてください♪