2015.05.29
知っておきたいSSLの基礎知識
みなさまはじめまして。ウチダと申します。
なんやかやとご縁がありまして、このたびデモ社チームの一員となりました。
今後ともよろしくお願いいたします。
さて今回は、SSLの基礎知識に触れていきたいと思います。
目次
- ・そもそもSSLって何?
- ・何のために使うの?
- ・どんな仕組み?
- ・認証の種類
そもそもSSLって何?
インターネット上でのデータ送受信を暗号化する方法のひとつです。
Netscape Communications 社が開発して、
1995年の Netscape Navigator 1.1 などで利用できるようになりました。
今日ではTLSというプロトコルが主流になっていますが、
TLSの元になったものがSSLであり、TLSも含めてSSLとして広く呼ばれるようになっています。
何のために使うの?
SSLを使うことによって「認証」「暗号化」「改竄検出」ができるようになります。
- 認証
対象の正当性の確認します。
(例:お店のウェブサイトで、サイトの運営元が本当にそのお店であるか確認したい) - 暗号化
第三者に通信内容を知られないようにします。
(例:クレジットカード番号の送信を盗み見られないようにしたい) - 改竄検出
通信内容のすり替えを検知します。
(例:ウェブサイトとの通信に割り込みされるなどで、偽サイトが表示されないようにしたい)
どんな仕組み?
通信を暗号化するためには、やりとりをする2者が、施錠と解錠のために鍵を持っている必要があります。
ネット上で、盗聴されないように対策しながら、鍵をやりとりする仕組みとして、
公開鍵暗号方式という仕組みを使います。
“SSLによるセキュアな通信” by user:うぃき野郎 – http://www.verisign.co.jp/repository/faq/SSL/protocol.html を参考. Licensed under パブリック・ドメイン via Wikipedia.
上記はSSLによるセキュアな通信をするまでの流れです。
複数の鍵を使うことで、鍵を盗聴されることなくお互いに鍵を持つことができます。
この図のうち、秘密鍵はとくに重要です。
これが漏洩するとすべての通信を解読される上、なりすましも防げなくなります。
秘密鍵はサーバの外に出ないよう、管理はとくに気をつけましょう。
また、(4) の証明書の検証によって、
第三者認証機関によって対象の正当性の確認がされます。
認証の種類
「認証」の種類について、以下の3つに分けて説明します。
- ・企業認証
- ・ドメイン認証
- ・オレオレ認証
企業認証
第三者認証機関が、登記簿謄本や帝国データバンクなどの情報を確認して、
サイトを運営する企業の実在性を確認して発行するのが企業認証証明書です。
証明書に記載された企業が法的に存在すること、
その企業がドメインの持ち主であることが確認できるようになります。
申請には企業の所在地情報や代表者名、サイト運営担当者の情報などが必要です。
- ・参考:セコム お客様組織別提出書類基準 [セコムパスポートfor WEB SR] (※PDF)
ドメイン認証
ドメインの管理者に連絡を送ることなどで、
そのドメインの持ち主であることを証明するのがドメイン認証明書です。
スピーディに発行できる反面、運営元の身元証明はされないので、信頼性が十分に確保できません。
ドメインの管理者として登録されているメールアドレス宛に、
確認のメールを出すなどして、確認がされます。
- ・参考:グローバルサイン クイック認証SSL 新規お申し込み方法
クイック認証SSLのお申し込み方法にはメールによる認証・ページによる認証・DNSによる認証との3つの方法があります
オレオレ認証
第三者認証機関による認証がされていない証明書を、俗にオレオレ認証と呼びます。
開発環境や社内環境など、暗号化がされていればいいケースなどで利用されます。
認証や改竄検出の役には立たないので、一般に公開するサイトで利用してはいけません。
以上、SSLの基礎知識について、ざっくりと紹介させていただきました。
このほか、去年2014年はSSLをとりまく様々な問題や、環境の変化があったのですが、
こちらの紹介は次回に譲りたいと思います。