初めての方でもわかるSSLまとめ

SSL/TLSとは?SSLサーバ証明書とは?

SSL/TLSやSSLサーバ証明書についての基礎知識から、最新活用方法までわかりやすく解説。SSLとTLSの違い、SSL暗号化通信の仕組み、認証の種類、httpsとhttpの違いや見分け方がわかります。

PDF資料配布中
  1. SSLのグローバルサイン
  2. サービス一覧
  3. SSLサーバ証明書
  4. SSL/TLSとは?

SSLとは

SSL(Secure Sockets Layer)は、インターネット上でのデータの通信を暗号化し、盗聴や改ざんを防ぐ仕組み(プロトコル)のことです。
通常インターネット上での通信は「http(HyperText Transfer Protocol)」で行われますが、送受信されるデータは暗号化することができず、盗聴や改ざんを防げません。
しかし、SSLプロトコルを使用することで通信データは暗号化され、第三者が盗み見しようとしても解読することができません。

SSLによる通信の暗号化

SSLは、ブラウザとウェブサーバ間で送受信される個人情報や決済情報などの大切なデータを、悪意ある第三者による盗聴や改ざんから守る有効手段の1つとなっています。
以下ではさらに「SSLとTLSの違い」「SSLサーバ証明書の役割」「SSL通信の仕組み」やSSLサーバ証明書の種類と利用用途、SSLサーバ証明書を導入しているサイトの見分け方や最新動向などをご紹介します。

SSLとTLSの違い

SSLは米Netscape社によって開発され、1994年にウェブブラウザ「Netscape Navigator 1.1」に「SSL2.0」が実装され、SSLが広く普及しました。 その後はSSL3.0を元にしたTLS1.0(Transport Layer Security)が定められましたが、この時は既にSSLの呼称が定着しており、現在は「SSL/TLS」のような併記で使われることが多いです。

最近まで広く使用されていた「SSL3.0」は、2014年に脆弱性の問題が発見され、既に各種ブラウザでの利用が不可となっております。その後TLS1.0/1.1においても脆弱性が発見され、利用が非推奨とされております。
SSLとTLSの違いと脆弱性の問題

SSLサーバ証明書とは

SSLサーバ証明書とは、ウェブサイトの所有者の情報、送信データの暗号化に必要な鍵と発行者の署名データを持った電子証明書です。
グローバルサインなどの認証局が、ウェブサイトの所有者の情報や運営組織を確認し認証した上で発行します。 ウェブサイトにSSLサーバ証明書を導入することにより、インターネット上における「なりすまし・盗聴・改ざん」の3つのリスクを防ぎます。

SSLサーバ証明書導入で「なりすまし・盗聴・改ざん」を防ぐ

SSLサーバ証明書の役割その1 SSL暗号化通信の実現

個人情報や決済情報データなどをSSL暗号化して送受信

ユーザが入力した個人情報や決済情報などのデータを、ブラウザとウェブサーバ間で送受信する際に暗号化します。

SSLサーバ証明書の役割その2 組織の実在性確認

組織の実在性確認

ウェブサイトの運営者・運営組織の実在性やドメイン(コモンネーム)の使用権を、グローバルサインなどの認証局が確認します。

SSL暗号化通信の仕組み

SSL暗号化通信は、インターネット上で送受信される機密性の高いデータ(個人情報・決済情報・Cookieなど)を暗号化し、第三者からデータが覗かれるのを防ぎます。
SSLサーバ証明書には、データの暗号化と送受信に必要な鍵が含まれていて、SSL暗号化通信は、「共通鍵暗号方式」と「公開鍵暗号方式」の仕組みを用いて行われます。

公開鍵暗号方式・共通鍵暗号方式とは?

SSL暗号化通信の流れ

SSL暗号化通信の流れは、まずサーバ側から「公開鍵」が送付され、それを元にクライアント側で「共通鍵」が生成され、サーバ側にも送られます。
次にクライアント側が生成された共通鍵を使って暗号化した個人情報や決済情報などのデータをサーバ側に送り、 サーバ側は事前にクライアント側から送られた共通鍵を使ってデータを復号します。
SSL/TLSは、一対の機器の間でデータの暗号化通信を行うことができる、トランスポート層のプロトコルです。
暗号化通信により、通信を行おうとしている相手ではない機器によるなりすまし、データの盗聴、改ざんなどを防ぐことができるようになります。 万が一途中でデータを盗聴されても、暗号化されたデータは解読されず、改ざんされたり悪意ある第三者に内容が知られることはありません。

SSL暗号化通信の流れ
  • 接続要求
    クライアント側からSSL通信のリクエストをサーバ側へ送信。
  • SSLサーバ証明書と公開鍵をクライアント側へ送付
    サーバ側から、公開鍵付きのSSLサーバ証明書がクライアント側に送付。
    クライアント側のブラウザに搭載されているルート証明書で署名を確認し、SSLサーバ証明書を検証。
    ※グローバルサインをはじめとする「信頼のある認証局」のルート証明書は、あらかじめ主要PCブラウザや携帯端末に搭載されているので、ユーザ側で新たにインストールする必要がありません。
  • 共通鍵(セッションキー)を暗号化しサーバ側へ送付
    クライアント側で生成された暗号用の「共通鍵(セッションキー)」を、サーバ側から送られてきた公開鍵を用いて暗号化し、サーバ側へ送信。
    サーバ側に送信された共通鍵は、サーバ側で保持している秘密鍵で復号化され、共通鍵が取り出される。
  • SSL暗号化通信開始
    個人情報などの機密性の高いデータを、クライアント側で保持している共通鍵で暗号化しサーバ側へ送信。
    サーバ側は、受け取った暗号データをサーバ側で保持している共通鍵で復号してデータを取得する。
    ※共通鍵は、サーバとクライアントが使用するブラウザの双方が対応する、最も強度の高い暗号方式・鍵長が使用されます。

OSI参照モデルで表すSSLプロトコル

SSLプロトコルをOSIのネットワーク階層モデルで表すと、トランスポート層とプレゼンテーション層の間に位置し、上位のアプリケーション層やプレゼンテーション層(HTTP / POP/ FTP / など)から 、暗号化などセキュリティ対策を施した通信が行えます。

OSI参照モデル HTML、SSLの部分を暗号化

組織の実在性確認

SSLサーバ証明書は、グローバルサインなどの認証局がウェブサイトの運営組織が実在することを確認し保証した上で発行されます。
これにより、ウェブサイトを運営している組織がなりすましや架空でない本物の組織であることが認証され、ブラウザに鍵のマークが表示されたり、アドレスバーが緑色になるなど、ユーザが安心してウェブサイトを利用できるようになります。

組織の実在性確認

SSLサーバ証明書の種類

SSLサーバ証明書は、サイト運営元の確認内容によりレベル分けされた「ドメイン認証」「企業実在認証」「EV認証」の3種類が存在します。
それぞれ特徴と一連の認証の流れがあり、SSLサーバ証明書を導入するウェブサイトの利用用途や予算に適した使い分けすることが可能です。
SSLの種類の比較と利用用途

ドメイン認証

証明書の所有者が、証明書に記載のあるドメインの使用権を所有していることを認証します。
組織の実在性は確認しないため、登記簿謄本などの提出は不要、個人事業主の方でも証明書の申請が可能です。
オンラインでの短期間の審査で証明書を取得でき、低価格で素早くSSLサーバ証明書を導入することができます。

企業実在認証

証明書に記載されるドメインの所有者の認証の他、その運営組織が法的に実在すること認証します。
第三者データベースに照会の上確認し、さらに申し込みの意思を確認の上証明書が発行されます。
ウェブサイトの運営組織や所在地が架空でないことをアピールし、サイトの信頼度が向上します。

EV認証

証明書に記載されるドメインの所有者の認証の他、世界標準のガイドラインに沿って、 組織の法的・物理的実在性を第三者データベースに照会の上確認し、さらに申し込みの意思と権限を確認の上証明書が発行されます。
導入したウェブサイトを訪問するとアドレスバーは緑色になり、また運営組織名が表示されます。

無料PDF資料「SSL/TLSのキホン徹底解説」配布中!

PDF資料 SSL/TLSのキホン徹底解説

初めての方でもわかるSSL/TLSやSSLサーバ証明書の基礎知識、SSLサーバ証明書の種類・使い方などをまとめたPDF資料を配布しております。

資料ダウンロードはこちらから

SSLサーバ証明書導入の必要性

SSLサーバ証明書導入は、ウェブサイトにおける「なりすまし」「盗聴」「改ざん」のリスク防止と、「フィッシングサイト」などと呼ばれるウェブサイトを使った詐欺対策に有効です。

「なりすまし」「盗聴」「改ざん」とは

なりすまし

なりすましとは、第三者が正当な取引主体になりすまして、取引を行う行為のことです。

盗聴

盗聴とは、インターネット上で送受信される個人情報や決済情報、Cookieなどの機密性の高いデータを第三者が盗み見する行為のことです。

改ざん

改ざんとは、ユーザがユーザ登録や注文画面などで入力した内容等を、悪意ある第三者が途中で書き換える行為のことです。

「フィッシングサイト」とは

「フィッシングサイト」とは、悪意ある第三者が、会員制サイトやECサイトになりすまし、本物を装ったウェブサイトへ誘導するメールを送りつけ、パスワードや決済情報といった重要な個人情報を取得することを目的にしたウェブサイトを作る行為のことです。

フィッシング詐欺とは

「個人情報の暗号化」「https化」で機会損失回避

「フィッシングサイト」の詐欺被害が年々増加傾向であることとともに、 個人情報保護法の施行(平成17年4月1日)以降、個人情報保護に対する意識はますます高まっています。
ある調査によると、個人情報を提供する際に最も重要視することとして『SSLサーバ証明書などによって個人情報の暗号化を行なっているか』が1番に挙げられています。

『ウェブサイトで個人情報を送信する際に重要視すること』

ウェブサイトで個人情報を送信する際に重要視すること
※2016年6月「SSLサーバ証明書の認知度・利用度調査」(調査協力・株式会社マクロミル)

また、「Google Chrome」のバージョン56より、パスワードやクレジットカード情報を入力するフォームがあるHTTPサイト(非SSL/TLSサイト)に対しては、 アドレスバーの右に安全ではないことを示す「No Secure」と表示する仕組みを導入しました。一目でわかる仕組みは、今後ますますHTTP化されていないウェブサイトの利用を避ける傾向を強めるものと思われます。

NoSecure

個人情報保護の必要性は、そのサイトを利用するユーザが判断します。SSLサーバ証明書を導入し、ユーザに安心してウェブサイトを利用してもらうことで、機会損失を回避することが可能になります。

SSLサーバ証明書導入サイトの見分け方

ウェブサイトがSSLサーバ証明書を導入してるか否かは、ユーザがブラウザで確認することができます。

アドレスバーがhttpsに変化する

SSLサーバ証明書が導入されていないウェブサイトは、アドレスの先頭が「http」で、SSLサーバ証明書が導入されているウェブサイトは、ブラウザのアドレスバーに『鍵マーク』、アドレスの先頭は『https』と表示されます。
httpsの「s」は、セキュア(Secure)を表し、ブラウザとサーバ間で通信されているデータが暗号化され保護されていることを示します。 また、EV認証のSSLサーバ証明書を導入している場合、アドレスバーには運営組織名が緑色で表示されます。

SSL(https)導入をアドレスバーで確認

証明書情報の見方

SSLサーバ証明書には、ウェブサイトの所有者(運営組織)、証明書の有効期間、送信情報の暗号化に必要な鍵など様々な情報が含まれています。
ブラウザによって、確認の方法が異なります。
Internet Explorer 9での確認方法
Google Chromeでの確認方法

有効期間を確認

SSLに関するエラーや警告

アドレスがhttps://で始まるウェブサイトにアクセスして表示される警告は、主に以下の3種類があります。
詳細はサポートページをご参照ください。

信頼する会社から発行されていません
・SSLサーバ証明書が正しく設定されていない。
・中間CA証明書が設定されていない。
・信頼のある認証局で認証されていない「自己署名証明書(オレオレ証明書)」を利用している。
有効期限が切れたか、まだ有効になっていません
・SSLサーバ証明書の有効期限が切れている。
・SSLサーバ証明書が有効になっていない。
※クライアントPCの時間が正常でない場合も同様のメッセージが表示されることがあります。
名前が無効であるか、またはサイト名と一致しません
・証明書のコモンネームとブラウザで入力してるFQDN(ホスト名.ドメイン名等)の不一致

また、正しく設定したSSLサーバ証明書を導入しても、ウェブサイト内に非SSLのコンテンツがあると警告表示がされます。主要ブラウザによって警告表示の仕方はまちまちです。

httpとhttpsが混在のSSLエラー  chrome

SSLの活用・最新動向

常時SSL化とは

ウェブサイトのすべてのページを暗号化(SSL/TLS化)することを常時SSL(Always On SSL)といいます。
常時SSLは、ウェブサイト内のログインページやフォームなど特定のページだけでなく、その他すべてのページをSSL/TLS化することで、ログイン情報や決済情報だけでなく、Cookieへの不正アクセス(盗聴)も防止することができます。
常時SSLとは?メリットと注意点

常時SSL化とは

SSL/TLSの拡張仕様「SNI(Server Name Indication)」とは

SNI(Server Name Indication)は、「1台のサーバで異なる証明書」を使い分けることができます。
SSL/TLSの「1つのサーバで同じIPアドレスにつき1ドメインの証明書しか使えない」は、常時SSL化が推奨され今後さらにSSLの需要が増えると予想される状況においては、いずれIPアドレスの枯渇が懸念され、このSNIに注目が集まっています。
SNIを導入すると「1つのサーバで異なる証明書の使い分け」が可能となります。また訪問者にとっては「SSLだけ突然別のサイトに飛ばされる」違和感が無くなり、運営者にとっても、SSLが必要なウェブサイト増える都度IPアドレスを準備する手間が減り、IPアドレスの節約にも繋がるメリットがあります。

SNI(Server Name Indication)

共用ドメインSSLを使う時の注意点

レンタルサーバなどで提供されている共用SSLは、同じホストのユーザで1つのSSLサーバ証明書を使用しています。認証局発行のSSLサーバ証明書とは違い、導入コストもかからず、面倒な手続きも不要で、手軽にSSL暗号化通信ができるメリットがあります。一方で、元のページからSSLのあるページへ移動すると、元とは違うドメインになるため、ユーザによっては違和感や不安感を抱いてしまう場面が想定されます。

共用ドメインSSLを使うと

SHA-1・SHA-2(SHA256)とは

SHA-1・SHA-2とは、ハッシュ関数の種類で、改ざん検知に利用される署名アルゴリズムのことです。
SHA-1とSHA-2でハッシュ値の長さが異なり、ハッシュ値が短いと同一のハッシュ値を持つデータが発見される可能性が高くなり、安全性が低下します。
SHA-1証明書を使い続けている場合、主要ブラウザではすでに警告を表示させるようになっております。

SHA-1証明書を使い続けていると警告表示

RSA鍵1024bitの問題

1024bitRSA鍵をはじめとする従来の暗号技術の脆弱性が指摘され、2010年末を境に、2048bit以上の鍵長の鍵を使用することが、NIST(アメリカ国立標準技術研究所)やその他各国政府に推奨されるようになりました。グローバルサインでも既に1024bitRSA鍵でのSSLサーバ証明書発行は停止しております。
RSA鍵1024bitの問題

【関連情報】PKI・電子証明書入門

PKIとは?

公開鍵と秘密鍵

PKI(公開鍵暗号基盤)は、公開鍵と秘密鍵のキーペアからなる公開鍵暗号方式という技術を利用し、インターネット上で安全にやりとりを行うセキュリティのインフラ(基盤)のことです。

電子証明書とは

電子証明書とは

電子証明書は、電子の世界で持ち主の情報を証明することができます。電子証明書を導入することで、「なりすまし」「改ざん」「事後否認」「盗聴」といったリスクを未然に防ぎます。

認証局(CA)とは?

電子証明書とは

認証局(CA:Certification Authority)の役割は、電子証明書を発行することと、失効させることです。

PDF資料を配布しております

サービスカタログ

サーバセキュリティカタログ
  • グローバルサイン総合カタログ
  • サーバセキュリティサービスカタログ

関連資料

初めての方でもわかるSSL/TLSのキホン 徹底解説 PDF資料
  • 初めての方でもわかるSSL/TLSのキホン 徹底解説
  • 常時SSLのススメ メリットと注意したいポイント

SSLに関する資料ダウンロードはこちら

電話:03-6370-6500(受付:平日10時〜18時)
ページのトップへ戻る