先週の前編では鍵マークがなくても問題がないサイトもあれば、逆に鍵マークがあっても安心とは限らない、と書いて皆さんを混乱させてしまいました。
今回の後編では、その理由となる鍵マークの本質を説明します。
鍵マークにもいろいろある。
サイトに鍵マークをつけるには、サイトの運営者が「SSLサーバ証明書(以降、証明書)」というデジタルな証明書を取得し、それをWebサーバにインストールすることで、ユーザーからの送信データを暗号化できるようになります。
また、鍵マークがブラウザのアドレス欄に表示されるようになります。これが基本的な仕組みです。
しかしこの証明書の種類がひとつだけではなく、いろいろな種類があることがこの混乱の原因になっています。
ざっと種類を並べてみましょう。
<プライベート証明書(俗称:オレオレ証明書)>
公的な証明書発行機関から発行する証明書ではなく、自分で勝手に発行した証明書です。ただしこういう証明書は「信頼できない証明書」ということで、ブラウザが強い警告画面を出し、先に進むのが難しいようにしてくれるので、一般の方はそれ以上進むのは避けておきましょう。(あえて進むこともできるようにはなっていますが)
ちゃんとした一般向きのサイトでは、こういうプライベート証明書を使うことはありえません。
<公的な証明書発行機関から発行してもらう証明書>
CA(Certification Authority)と呼ばれる信頼できる認証局=証明書発行機関から発行してもらった証明書です。
有名なベリサイン社をはじめとしてグローバルサイン社、ジオトラスト社などの発行機関があり、これらから発行された証明書は、ブラウザは安心できる証明書として識別します。
なお、この公的機関が発行する証明書には、認証レベルに応じて3つの種類があり、それが鍵マークの安心問題を厄介にしている原因なのです。
3つのレベルの証明書
「EV(Extended Validation )」と言われる最高レベルの証明書では、実際のその申請企業や団体が実在して実態があり連絡が取れることまで確認しているので、フィッシングサイトなどに利用されることがありません。
プラウザの鍵マークとそのあとのドメイン名が緑色になっているのがこのレベルで、この状態のサイトなら安心できます。実際、金融機関や公官庁、大手ショッピングモールやグローバルブランドや大手メーカーなど、フィッシングによってユーザーに大きな金銭的な被害を与えてしまう恐れのある業態やサービスなどのサイトでは、ほぼこのEVレベルの証明書を取得しています。
しかし、その次のレベルの「OV(Organization Validation)」では、企業の法的な登記は確認しますが、幽霊会社など実態のない会社でも取得できてしまいますし、また一番レベルの低い「DV(Domain Validation)」に至っては、個人でも取得できたり、法人でも登記情報などの確認がないので、架空の法人や団体でも取得できるなど、「鍵マークがあっても危ないサイトではないとは言えない」という状況が生まれてしまうのです。
もちろんOVレベルでも全く問題ない企業やサイトが大半ではありますが・・・。
こう書くと、「全てのサイトがEVレベルの証明書を取得すればいいじゃないか」と思われるかもしれません。
それもそうですが、レベルによってかかる費用や申請の手間が大きく違うということもあり、自分のサイトにとって必要十分なレベルを、各企業が判断して取得している、というのが実情です。
ですので、EVレベルではないとダメ!とも一概には言えないのです。社員だけが使うサイトなどでは、単に通信データを保護するだけのDVレベルでも十分な場合もありますし・・・。
ですので、「EVレベル以外を信用してはいけない」とは一概に言えないのです。難しいですね・・・(+_+;)
さて少し長くなってしまいましたが、今回は証明書について解説してきました。
結局、鍵マークだけでは安全かどうかの判断は、簡単にはできない状況である、ということでスッキリしない結論となりますが、そういう状況である以上、「初めてのサイトではURLをちゃんと確認する」など、気をつけないといけませんね・・・。
なお、証明書に関しては、SSLサーバ証明書以外にも「ルート証明書」や「中間CA証明書」などもあり、ちゃんと解説するにはもっといろいろあるのですが、今回は一番知っておいてもらいたい点に絞って書きました。
少しでも「鍵マーク」に関する理解を深めてもらえれば幸いです。
インターネットの世界では、毎年多くのフィッシングや不正請求、不正アクセスその他の被害が発生しています。
その中で自分を守ることは大切なことですので、セキュリティ知識を正しく持つとともに、最新の情報をこまめにチェックして対応していきましょう。
自分が被害にあわないために。