技術

電子証明書、SSL証明書について~基礎編~

にっし

にっし

2019/10/28

こんにちは、インフラエンジニアのにっしです。

w2のインフラチームでは、 ECサイトをオープンするお客様よりご依頼いただいたSSL証明書のインストール代行作業を行っています。
今回は、この「SSL証明書」の概要やそれを理解するにあたっての前提知識をご紹介します。
SSL証明書と簡単に言えども、内容や範囲が幅広いため、2回にわたってお送りしたいと思います。今回は基礎編、次回はその技術的担保や種類の違いなどの解説を予定しています。

1.ネットに潜むリスク

インターネットは大変便利なものになってきましたが、その分様々な脅威が存在します。もちろんECサイトにも。
この脅威を未然に防ぐ仕組みの一つが今回のテーマである電子証明書です。電子証明書は、「 改ざん」「なりすまし」「事後否認」「盗聴」を防ぐことが可能です。それぞれのリスクを簡単に説明すると

  • 改ざん:HPを第三者によって意図しない内容に書き換えられること
  • なりすまし:相手が本物かどうかネットでは判断しにくい事を利用して、相手を騙すこと
  • 事後否認:発注した後に内容を改ざんして、「発注してないよ」とか言えちゃうこと
  • 盗聴:ネットに流れるパケットをキャプチャして内容を傍受すること

ざっくりとですが、イメージは掴めたでしょうか?
HPの改ざんなどは、昔からある手口ですが、サイト自体はまだ残っていることもあります。
また盗聴は、メールを盗聴して、同じ文章でURLだけ不正なHPに飛ばすように書き換える手口で、大手の企業様でも被害に遭うことがあるため、リンク先など皆さまも十分に注意してくださいね。

次はこれらの脅威に対して、電子証明書がなぜ有効なのか解説していきます。

2.電子証明書とは

先ほど、出てきた電子証明書とは、まず何なのか、、、現実世界で表すとパスポートや身分証明書のようなものです。その電子版でインターネットの中で使えるものを指しています。
証明書にも色々あり、サーバ証明書、ユーザー証明書 、デバイス証明書など使われ方がそれぞれ異なってきます。今回のメインテーマであるSSL証明書はサーバ証明書にあたります。
電子証明書は先程述べたリスクに対して以下効果があります。

  • 改ざん
    →改ざんの検知
  • なりすまし
    →認証局から本物だという認証を受けている(「認証局」について後述あり)
  • 事後否認
    →電子署名でのエビデンス確保
  • 盗聴
    →End to Endで暗号化することにより情報を保護する(盗聴されるけど、内容はわからない状態)

盗聴されても暗号化されている部分などすごくイメージしやすいと思いますが、パスワード変更のメールや「こちらよりパスワードを変更してください!→ www.hogehoge.com.xxx」のようなメールのURLを悪質な第三者がクリックして、パスワードを勝手に変更されてしまうとアカウントを盗難される恐れがありますよね。そういった事にならないように電子証明書はもはや必須の時代です。

3.認証局って何?

先述した認証局についてご説明します。
認証局とは、電子証明書の発行ならびに失効を行う機関のことです。
例えば、日本だとパスポートは外務省が発行したり、期限が切れると失効したりしてますよね?その電子版です(先ほどと重複しますが…)
ただし、国営の機関が運営する認証局もあれば、民営の認証局もあります。
認証局は、信頼性を確保するために様々なセキュリティ対策を施していることで認証局の信頼性を担保しています。

一言に認証局といえども実際には、ルート認証局や中間認証局などあり、ルート認証局は世界でも数社しかなく、ほぼすべてのブラウザにインストールされているくらい信頼性が高いです。
逆に言えば、安全かどうか常に世界中から常に監視されているとも言えますね。日本企業が運営するルート認証局も存在するので、興味があれば世界に通用するセキュリティ企業ってどこなのか調べてみても良いしれません。

4. 電子証明の流れ

では、実際電子証明が成させる流れはどのようになっているでしょうか。
おおまかな流れは下記の通りです。
信頼ある通信に対して、技術的に何をしているのかはまた次回の記事でご説明しますね。

ちなみに、私は図のサーバ管理者の位置です!本番環境を触る時はこのイラストの様子のように緊張感持ってやってます!

まとめ

信頼ある認証局が発行する”電子証明書”のため、証明書も信頼できる(なりすましではない)。という流れが伝わったかなと思います。
サイトにおいて証明書のないサイトは、アクセスする際に警告が出るため、出たサイトは気を付けて下さい!以下はInternet Exprolarでアクセスした際に出る警告です。

ブラウザによってどのタイミングで証明書の確認を行っているか異なることがあるため、それらに関連した内容の紹介と、SSL証明書の種類と技術的仕組みを次回紹介しようと思います!

長くなってしまいましたが次回もお楽しみに!!!!!!

(´◉◞౪◟◉)