目次
SSL証明書の機能
SSL証明書には大きく2つの機能があります。
※SSL証明書=CAによる署名付き公開鍵+各種情報(Common Nameとか)、と考えるとほぼあっていると思います。
- 通信の暗号化
-
SSL証明書は公開鍵として機能します。
この公開鍵の鍵長は暗号化強度に影響します。
従来は 1024bit が標準でしたが、安全度が低下したため現在は 2048bit のものを利用することになっています。[note]が、古い携帯電話などでは2048bitが利用できないものがあるため、一部問題になっています。(暗号2010年問題、などと言われています。)
参考) https://www.cybertrust.ne.jp/ssl/sureserver/2048bit_action.html
[/note] - 接続先のサイトの正当性証明
-
SSL証明書はCA(認証局)により電子署名された公開鍵です。
電子署名する際に審査を受けているとみなせるため、サイト運営者の信頼性はCAによって担保されている、とみなせます。CAを第3者にすることによって、そのサイトの正当性をより確からしく証明できることになります。
例えばベリサイン・サイバートラストなど、SSL証明書発行機関として知られているサービスはこの「第3者認証機関」として一定以上の信頼がある(各種ブラウザにデフォルトで信頼されている)、という意味でサービス提供されています。[note]
一般に商用サービスでの審査の信頼度のレベルにより下記のような種類があります。- DV:Domain Validated ドメイン認証:
サイト運営者が確かにそのドメインを利用できる環境にあることの認証
※セキュリティレベルとしてはあまり信用できないため、業界で議論の的となっている。その結果EVのような規格もできた。 - OV:Organization Validated 組織認証:
サイト運営者(組織)が実在し、確かにそのドメインを利用できる環境にあることの認証
※もっともオーソドックス。従来の「SSL」はこれをイメージ。 - EV:Extended Validated (和訳不明):
サイト運営者(組織)を法的面も含めより強固な審査を通過したことを認証
参考) http://ja.wikipedia.org/wiki/Extended_Validation_%E8%A8%BC%E6%98%8E%E6%9B%B8
[/note]
またSSL証明書内に書かれているドメイン(CN:Common Name)とアクセスしているURLが一致しているかを見ることで、自分がつなぐつもりのサーバに正しくつながっているかを確認できます。
- DV:Domain Validated ドメイン認証: