ビジネスとIT活用に役立つブログBlog


SSL暗号化通信について理解しよう

この記事をシェアする:

インターネット上におけるデータの送受信は、盗聴やなりすましによって悪意のある第三者にデータを悪用されてしまう危険性があります。よくあるケースとしては、ECサイトにおいて購入者の個人情報やクレジットカード、パスワードといった重要な情報が狙われ、悪用されてしまうケースです。

それらの問題を解決するのがSSL暗号化通信です。(以下、SSL)
SSL(Secure Sockets Layer)は、インターネット上での通信を暗号化する技術です。SSLを利用することで、ユーザーが利用するブラウザとサーバ間の通信を暗号化し、第三者によるデータの盗聴やなりすまし、改ざんなどを防ぐことができます。

ssl-catch

非SSL

非SSLのイメージ

SSL

SSL暗号化通信のイメージ

SSLの仕組み

では、どのように送受信されるデータを暗号化されているのか、暗号化のプロセスについて説明します。
SSLは、公開鍵暗号・共通鍵暗号・SSLサーバ証明書といった技術を利用してセキュリティを高めています。

  1. SSLを利用したサイト(サーバ)にユーザーがブラウザからアクセスします。(接続要求)
  2. サーバは、公開鍵が付いたSSLサーバ証明書をユーザーのブラウザに送付します。
  3. ブラウザは、サーバから送付されたSSLサーバ証明書を検証し、信頼できる認証局が発行された電子証明書であるかを確認します。(問題がある場合は警告が表示されます。)
  4. ブラウザは、証明書に問題がなければ、サーバ証明書に含まれる公開鍵を使って、以後の暗号化通信の際に利用する共通鍵を暗号化しサーバ側へ送信します。
  5. サーバは、あらかじめ公開鍵とペアで持っている秘密鍵を用いて、受け取った共通鍵を復号化します。

これで、ブラウザとサーバ間で同じ共通鍵を持つことができました。これ以後の通信は、

  1. ブラウザが、通信データを共通鍵で暗号化しサーバへ送信します。
  2. サーバは、受け取った暗号化された通信データを共通鍵で復号化し、実際のデータを取得します。

SSLの見分け方

SSLによって保護されているサイト(ページ)かどうかは、簡単に見分けることができます。
SSLが導入されているページでは、下記の図のようにアドレスバーに表示されるURL「http://」にセキュア(Secure)を表す「s」が付き、「https://」の形式になります。

WS000000

GoogleChromeのアドレスバー

SSLサーバ証明書の確認方法

サーバ側から送付されるSSLサーバ証明書もブラウザから確認することができます。
SSLサーバ証明書には、サイトの所有者や発行機関(認証局)・有効期限などを確認することができます。

Google Chromeの場合

証明書クロム

GoogleChromeにおけるSSLサーバ証明書の確認方法

Internet Explorerの場合

証明書IE

Internet Explorer11におけるSSLサーバ証明書の確認方法

※認証局が発行するSSLサーバ証明書には、1年・3年などの有効期限が設けられています。継続して利用する際、サイト管理者は、有効期限前に証明書の更新を行う必要があります。

SSLサーバ証明書の種類

SSLサーバ証明書には、ウェブサイト運営者の身元保証の保証レベルによっていくつかの種類があり導入コストも異なります。ウェブサイト運営者が必要性に応じて選択します。

ドメイン認証SSL(認証レベル1)

3つの認証レベルの中で、もっとも手軽な認証方式がドメイン認証(DV:Domain Validation)と呼ばれるものです。 証明書に記載されているドメインの使用権を、SSLサーバー証明書の所有者が所有していることを証明するものです。証明確認はメールのため証明書発行が早く、他の認証レベルの証明書と比較すると価格が安いことが特長です。SAKURA Internet

企業認証SSL(認証レベル2)

企業認証(OV:Organization Validation)と呼ばれ、法人サイトなどで一般的に使われている認証方式です。 法的に実在している企業・団体が運営しているサイトであることを証明するものです。 企業認証を取得するには各種書類の審査および申請者への電話確認が必要になるため、ドメイン認証と比べ、信頼性が高いことを証明することができます。SAKURA Internet

EV認証SSL(認証レベル3)

もっとも厳格な認証方式がEV認証(EV:Extended Validation)と呼ばれるものです。 企業認証の審査に加え、各種書類および第三者機関のデータベース等により、申請組織が法的・物理的に実在しているかを確認すると共に、申請者の在籍確認と電話確認を行います。 審査が厳格であるため、証明書の発行まで時間はかかりますが、緑のアドレスバー表示により、安全性をわかりやすくアピールすることができます。SAKURA Internet

認証レベル1のドメイン認証SSLは、認証発行が早く他の証明書と比較すると低コストというメリットがある反面、なりすまし対策にはあまり期待ができないといったデメリットもあります。
Webサイトに求めるセキュリティレベルや信頼性に応じて、認証レベルを選択する必要があります。

さいごに

SSLの基本を理解いただけましたでしょうか?

今や個人情報などの送受信を行うWebフォームのSSL対応は必須となってきていますが、最近では、GoogleやYahoo!などの検索エンジンをはじめ、一般のWebサイトにもSSL対応(常時SSL)が広がっています。

これは、スマートフォンやタブレットなどモバイル端末の普及による公衆無線LANの利用拡大に伴い、クライアントとサーバ間で送受信されるデータ(ログイン情報や閲覧データなど)を第三者に覗き見されるリスクが高くなっていることが背景にあります。
この機会にWebサイトのSSL対応についても検討してみてはいかがでしょうか?

この記事のカテゴリ:

SNSで最新の情報を
受け取ることができます!