知らないと危ない!4つの「SSL/TLS」関連チェックポイント

1. SSL証明書は持っていますか?

gk.png
GoogleのSSL証明書

「SSL/TLS」を用いたHTTPS通信を行うと、Webブラウザのアドレスバーに「南京錠」のマークが表示されます。これだけでも十分安全と思われるかもしれませんが、さらに安全であることをユーザーに認知させるには、*「SSL証明書」*が有効です。

「SSL証明書」は、ブラウザ側が認めた認証局が電子署名をすることで、ドメインの持ち主とSSL/TLSの実装元が同じであることを証明することです。

「SSL証明書」には、DV(ドメイン認証)・OV(組織認証)・EV(拡張認証)の3種類があります。DV証明書は個人・法人が共に取得可能で、費用もおよそ1000円からと安価ですが、信頼性が低く見られることがあります。OV証明書・EV証明書は、法人が発行対象者ですが、EV証明書があると、緑色のアドレスバーで、南京錠の横にSSL証明書の「取得者名」が明記されるので、ユーザーも安心できます。

2. 無料証明書でも大丈夫ですか?

le.png
Let’s Encrypt

「SSL/TLS」の取得費用の中でも、一般的にEV証明書の取得は費用が非常に高額なため、最近では、無料の証明書サービスとしてアメリカの非営利団体ISRGが運営するLet’s Encryptが人気となっています。

Let’s Encryptは有効期限が3ヶ月の証明書で、スクリプトを設定することで自動更新を行うことができます。一般的な証明書は手動で証明書の差し替えが必要となりますが、このスクリプトにより、半永久的に維持できるようになります。

また、シマンテックコモドも無料のSSL証明書サービスを始めています。

同じSSL証明書である以上、無料だから解読がされやすいといったことはありません。高額の証明書を取得しても、無料の証明書と暗号化強度は同じです。しかし、無料で取得できるためにフィッシングサイトなどで悪用されることも多いので、企業が採用するには細心の注意が必要でしょう。

3.「オレオレ証明書」問題はクリアしていますか?

hk.jpeg
イメージ画像 / stock.io

2003年に鳥取県警の命名でよく知られることになった「オレオレ詐欺」にあやかり、ネット上では「オレオレ証明書」と呼ばれる問題が蔓延しています。

これは日経サイエンスが2005年に使った言葉です。サイバー研究家の高木浩光氏によれば、オレオレ証明書の区分は6つに分かれており、認証されていないサーバー証明書を使ったり、正規に承認されていても自分が署名したものとは違った証明書を用いていることを指します。

こうした証明書を用いていると、「暗号化」はできていても「実在確認」が伴わないので、セキュリティ上のリスクを伴います。安全なSSL通信を行いたいのであれば、信頼できる第三者認証局に依頼をしましょう。

4. 常時SSL化していますか?

net.jpeg
イメージ画像 / stock.io

常時SSL化とは、個人情報やパスワードを入力するページだけではなく、サイト全体をSSL化してしまい、ブラウザからアクセスする場合、常にSSL接続で閲覧してもらう方法です。

現在では、常時SSL化していないと、Google Chromeで*「保護されていません」*というメッセージが出ます。一方、常時SSL化していれば、トップページから南京錠のマークが表示されるので、ユーザーとしても安心です。

現在、日本の銀行や証券サイトのほとんどが、部分SSL化を採用し、オンラインバンキング機能だけをSSL化しています。しかし、トップページに表示されている情報が、悪意のある第三者によって書き換えられてしまったらどうでしょうか。

すべてのページを暗号化しておけば、トップページからユーザーが回遊するすべてのページに暗号化が行われるので、セキュリティ上のリスクを回避できます。こうした安心を提供する上でも常時SSL化は重要な要素となります。