ベストプラクティス 05-26-2020

適切なタイプのTLS/SSL証明書を選択する方法

デジサート

高度な技術を持つ企業のサーバー管理者から、金融機関のプロダクトマネージャー、さらにはショッピングカートのセキュリティを確保したいだけの一人起業家まで、"TLS/SSL証明書がどれも同じ機能を持つなら、どのタイプを取得すればいいのか?"という同じ質問が出てきます。

3種類のTLS/SSL証明書の役割は基本的に同じで、TLSのネゴシエーションの時に情報を暗号化することです。正しくインストール・設定されていれば、ほとんどのブラウザでhttpsと南京錠の両方が表示されます。

しかし南京錠の向こう側には、さまざまなレベルのセキュリティとリスクがあります。

どのようなTLS/SSL証明書を取得すればよいのでしょうか?

ほとんどのセキュリティ管理者は、証明書を要求する前に、技術的な仕様について下調べをしています。社内向けなのか、一般公開向けなのか? ユーザー層とその利用方法は? どのようなOSやサーバーソフトが関係するのか? どのシステムが影響を受けるのか? セキュリティポリシーの要件は何なのか?

しかしそれ以上に、TLS証明書は、機能性や鍵の大きさだけでなく、信頼性が重要です。

消費者の意識

調査によると、オンライン詐欺が増加するにつれて、組織に対する消費者のデジタル信頼度が低下します。消費者向けのサイトでは、信頼を得ることが大切です。そのためTLS証明書を選択する際には、ユーザーの信頼と、組織についてユーザーに伝える内容を念頭に置く必要があります。

TLS/SSL証明書の種類

TLSの証明書には、ドメイン認証(DV)、組織認証(OV)、EV認証(EV)の3種類があります。デジサートなどの認証局(CA)は、それぞれのタイプの証明書を異なるレベルのユーザーの信頼に合わせて検証します。

ドメイン認証証明書

ドメイン認証証明書は、サイトドメインの所有権を証明するために、ドメインレジストリを照合します。しかし、DV証明書は組織を識別する情報を提供するものではありません。そのため、DV証明書を商用目的で使用することはお勧めできません。この証明書は、最も安価なタイプの証明書であるかもしれませんが、ウェブサイトの背後にいるのは誰かという点において、認証の価値を提供しません。

サイト訪問者は、証明書を使って企業の正当性を確認することができないため、オンライン詐欺に遭いやすくなります。したがって、DV証明書は、保護された内部システムのように、認証が重要でない場合にのみ使用されるべきです。

ChromeでのDV証明書の表示例(南京錠をクリックした後)。

DV TLS SSL Certificate in Chrome

なお、検証されるのはコモンネームまたはドメインのみです。

組織認証証明書

OV証明書の発行を受けるためには、認証局が各国政府のビジネス・レジストリ・データベースと照合して組織を認証します。認証局は、OV 証明書に正当なビジネス情報が含まれていることを確認するために、特定の文書を要求し、 担当者に連絡を取る場合があります。これは、商業用または一般公開用のウェブサイトで必要とされる標準的なタイプの証明書です。

ChromeでのOV証明書の例(南京錠をクリックした後)。

OV TLS SSL Certificate in Chrome

OVでは、コモンネームだけでなく、国、都道府県、市、組織も検証されます。

EV認証証明書

EV証明書は、検証ステップを追加し、最高レベルの認証を提供することで、お客様のブランドを守り、ユーザーを保護します。ウェブ上のすべてのサイトがEV証明書を使用しているわけではありませんが、ユーザーの信頼を確保するために、世界の主要な組織で使用されています。Comscore社とNetcraft社の2019年のデータによると、トップ400のeコマースサイトの半数以上がEVを使用しています。彼らは、OV証明書からEV証明書に切り替えることで、オンライン取引が増加し、顧客の信頼性が向上することを確認しています。

EV証明書は、ブランドに最高レベルの保証と検証を提供し、暗号化されたデータがどこに、誰に送信されているかをユーザーが正確に把握できるようにします。そのため、EVは機密性の高いデータを暗号化するためのグローバルな業界標準となっています。EV証明書は、アカウントエリアのログイン、トップのウェブページ、その他の機密性の高いエリアに使用されます。

さらに、EV対応サイトになりすますことは極めて困難です。EV証明書を使用しているウェブサイトでは、なりすまし攻撃の発生がほとんどありません。フィッシング攻撃によって毎分17,700ドルが失われていることを考えると、これは重要なことです。フィッシング攻撃は、報告されたセキュリティインシデントの80%以上を占めています。

以下は、ChromeでのEV証明書の例です(各ブラウザでのEV証明書の表示例を参照)。なお、ChromeでEV証明書を表示すると、「証明書(有効)、発行先:組織名(国名)」と表示されます。さらに詳細を知りたい場合は、「証明書」をクリックすると詳細が表示されます。

EV TLS SSL Certificates in ChromeEV TLS SSL CertificatesEV TLS SSL Certificates

EV証明書には、OVおよびDVのすべての詳細情報に加え、追加の識別情報が表示されます。

セキュリティを超えたEV

EV認証はセキュリティだけではありません。これは、セキュリティ、ブランド、顧客を大切にする評判の良いサイトの基準となっています。EVは、あなたのブランドがデータセキュリティに力を入れており、ユーザーに最高レベルの保護を提供していることを強くアピールします。

証明書の種類を選択した後、証明書をインストールする方法を説明します。

UP NEXT
認証

安全なリモートEメール利用のための5つのヒント

5 Min

特集記事

クラウド上で量子コンピュータをいかに保護するか

NIST PQC アルゴリズムに関する詳細な説明

従来の PKI がもたらす割高な機会損失