SSL証明書とは

SSL(Secure Sockets Layer)証明書は、ウェブサイトと訪問者間の安全な通信を可能にするデジタル証明書です。ウェブサイトをクリックする前に、そのサイトがSSL対応サイトであることを確認してください。そのウェブサイトが正規のものかどうか確信が持てない場合は、Malwarebytes Guardをご利用ください。

詐欺ガード

主なポイント

  • SSL証明書はウェブサイトの身元を確認し、ユーザーがなりすましサイトではなく、正当なウェブサイトと通信していることを認識できるようにします。
  • SSLは、ユーザーのブラウザとウェブサイト間の通信を暗号化し、パスワード、支払い情報、個人データなどの機密情報を盗聴から保護します。
  • HTTPSはSSL/TLS証明書に依存しています。ブラウザに鍵のアイコンと「https://」と表示されている場合、そのウェブサイトは暗号化と有効な証明書を使用していることを示しています。
  • SSL証明書は信頼を築きます。これにより、訪問者はそのウェブサイトが正規のものであり、サイト上で共有される情報が保護されていることを確信できます。
  • 要約:SSL証明書はウェブサイトの認証と暗号化を実現し、オンライン通信の保護とユーザーの信頼構築における基盤となるセキュリティ技術です。

SSL証明書とは何ですか?

SSL証明書は、ウェブサイトとその訪問者間の安全な通信を可能にするデジタル証明書です。ウェブサイトとユーザーのブラウザ間でやり取りされるデータを暗号化し、不正アクセスから保護します。SSLはSecure Sockets Layerの略です。

SSL証明書は、認証局(CA)がウェブサイトに発行するデジタル証明書で、ウェブサイトの身元を認証し、ウェブページとウェブブラウザ間の安全な接続を可能にします。SSL証明書は、ウェブ・ブラウザーとウェブサイト間のトラフィックが暗号化されていることをインターネット・ユーザーに示すため、インターネット上の信用を刺激します。

この安全な接続は、ブラウザのアドレスバーにある南京錠のアイコンと、ウェブサイトのURLにある「https」プロトコルによって示されます。SSL証明書は、クレジットカード情報などの機密情報が安全に送信されることを保証するため、電子商取引などのオンライン取引には不可欠です。しかし、悪意のあるウェブサイトもSSL証明書を取得できるため、SSL証明書が誤った安心感を与える危険性がある。例えば、どのサイトが証明書を取得するかを管理しない当局からDV(Domain Validated)証明書を付与されたフィッシング・ウェブサイトが増加している。さらに、SSL証明書は、SQLインジェクションやマルウェアのような悪意のある攻撃からウェブサイトを保護することはできません。 

SSL証明書の仕組み 

SSL証明書は、暗号化アルゴリズムを使用して、ウェブブラウザとウェブサイトの間でやり取りされるデータを暗号化します。

データが暗号化されると、脅威行為者が読み取ることはほとんど不可能になる。データの例としては、パスワード、名前、財務情報などがある。

SSL証明書がどのように機能するか、5つのステップで説明します:

  1. ブラウザはSSL証明書を持つウェブサイトに接続しようとする。
  2. ウェブサイトのサーバーは、検証のためにSSL証明書のコピーをブラウザに送信します。証明書上のウェブサイトの公開鍵は、セッション中のデータの暗号化に役立ちます。
  3. ブラウザは証明書を検証し、それが本物であり、失効しておらず、期限切れでないことを確認する。検証後、ブラウザはサーバーの公開鍵を使って暗号化された共通鍵を作成し、サーバーに送信する。
  4. サーバーは秘密鍵を使って対称セッション鍵を復号する。サーバーはセッション鍵で暗号化された肯定応答を送り返すことで、暗号化セッションを開始する準備ができたことを示す。
  5. ブラウザとウェブサイトは、セッション・キーで安全かつ暗号化された接続を確立する。

このプロセス全体はSSLハンドシェイクとも呼ばれ、ほぼ瞬時に行われる。SSL証明書が接続を保護した後

  • ブラウザのアドレスバーに、URLの直前に南京錠のアイコンが表示されます。
  • URLの前には、HTTPS(HyperText Transfer Protocol Secure)の頭文字が付きます。

SSL証明書には何が含まれますか?

  • ドメイン名: SSL証明書が有効なドメイン名。
  • 発行の詳細:SSL証明書が発行されたデバイスまたは個人、および証明書を発行した認証局。
  • デジタル署名:証明書の信頼性を検証するデジタル署名。
  • 日付:証明書の発行日と有効期限。
  • 公開鍵:SSL証明書には公開鍵が含まれ、秘密鍵は秘匿される。

SSL証明書は何に使うのですか? 

SSL証明書は、ブラウザとウェブサイト間の安全な接続を作成するために使用されます。証明書は、デバイスとウェブサイトのサーバー間のデータ交換を保護するのに役立ちます。接続の暗号化に加え、SSL証明書はウェブサイト利用者のセキュリティ保護にも役立ちます。さらに、SSL証明書はウェブサイトに対する信頼性の向上にも役立ちます。

ウェブサイトにSSL証明書が必要なのはなぜですか? 

SSL証明書は、ウェブサイトのサイバーセキュリティのための唯一のツールであると考えるべきではありません。しかし、以下のような理由から、ウェブサイトにはSSL証明書が必要です:

  • データ保護:SSL暗号化は、ウェブサイトと訪問者の間でやり取りされるデータをサイバー犯罪者から保護するのに役立ちます。これはビジネスに役立つだけでなく、オンライン・プラットフォームが個人情報保護法に準拠するのにも役立ちます。
  • 信頼:一般的なインターネット・ユーザーは、南京錠のサインと HTTPS の頭文字が安全な接続を意味することを知っているため、安心してウェブサイトを閲覧することができます。
  • SEO:SSL証明書を持つウェブサイトは、安全であると認識されるため、検索エンジンで上位に表示される。実際、ブラウザによってはhttpのサイトにフラグを立て、そのようなサイトは安全ではないのでアクセスしないように警告するものもあります。

SSL証明書の種類 

あなたのウェブサイトは、いくつかの異なるタイプのSSL証明書を取得することができます。それぞれの証明書には、独自の強み、検証プロセス、コストがあります。

ドメイン検証済み(DV)証明書 

DV 証明書は、EV 証明書や OV SSL 証明書よりも費用対効果が高い傾向にあります。通常、最も安価ですが、基本的な検証しかできません。DV証明書は通常、掲示板やブログのページなど、リスクの低いウェブサイトで使用されます。

拡張バリデーション(EV)証明書 

拡張バリデーション証明書は、最高レベルの検証を含み、通常、SSL証明書の最も高価な種類です。オンラインショッピングや電子商取引を提供する有名なウェブサイトは、通常このタイプの証明書を使用しています。EV SSL証明書は、南京錠のサインに加えて、アドレスバーに組織名と国を表示します。

組織検証済み(OV)証明書 

EV証明書と同様、OV証明書もDV SSL証明書と比べ、より高度な検証を行います。また、OV証明書はアドレスバーにウェブサイト所有者の情報を表示します。

ワイルドカードSSL証明書 

ワイルドカードSSL証明書は、1つの証明書でプライマリドメインと無制限の数のサブドメインを保護します。1つのドメインの下に複数のサブドメインを持つ企業は、コスト削減のためにこのタイプの証明書を取得する傾向があります。

マルチドメインSSL証明書 

マルチドメインSSL証明書は、ワイルドカードSSL証明書よりもさらに一歩進んだものです。単一の証明書で多くのドメインやサブドメインを保護することができます。このタイプの証明書は、複数のウェブサイトを持つ組織に最適です。

SSL証明書の購入SSL証明書の購入方法 

さまざまなSSL証明書を調査し、ニーズに合ったものを選ぶことから始めましょう。たとえば、1つのドメインに多数のサブドメインを設定している場合は、ワイルドカードSSL証明書が必要です。あるいは、個人ページ用のDV証明書を選ぶこともできます。

証明書の種類を選んだら、認証局(CA)のリストをチェックして証明書を購入します。認証局の証明書は価格によって異なります。無料の証明書もあれば、数千ドルどころか数百ドルもする証明書もあります。

WHOISレコードがCAへの申請と一致するように、サーバを準備します。次に、証明書署名要求(CSR)を生成する必要があります。CSRには、あなたのデータと公開鍵が記載されます。CSRをCAに提出した後、ドメインの所有権を証明する書類など、その他の書類を提出する必要がある場合があります。

証明書ファイルを受け取ったら、SSLをインストールします。手順はサーバーの種類によって異なります。必要であれば、ウェブサイトのプロバイダーに問い合わせてください。その後、HTTPSを使用するようにウェブサイトを設定する必要があります。SSLチェッカーを使用して、証明書が本物であり、正しくインストールされていることを確認できます。

SSL証明書の更新SSL証明書の更新方法

SSL証明書には有効期限があります。SSLの更新が期限内に行われるよう、早めに計画を立てましょう。更新が遅れると、ウェブサイトが信頼シールを失う可能性があります。

SSL証明書の更新手続きは、新規購入と同様です。新しいCSRを作成し、CAに提出する必要があります。また、更新したSSL証明書ファイルを以前のようにサーバーにインストールし、SSLチェッカーで証明書が正しくインストールされていることを確認する必要があります。

SSL証明書の価格:SSL証明書はいくらですか? 

SSL証明書は価格設定に大きな差があります。無料で取得できるSSL証明書もありますが、企業レベルのSSL証明書は年間数千ドルかかることもあります。SSL証明書のコストは、ドメインやサブドメインの数、証明書の種類、セキュリティのレベル、認証局(CA)の評判によって影響を受けます。

TLSとSSL証明書の違い:TLSとSSLの違い 

SSL(セキュア・ソケット・レイヤー)とTSL(トランスポート・レイヤー・セキュリティ)はどちらも暗号プロトコルだが、TLSはその最新版である。TLSはより安全で、より優れたTLSハンドシェイクを持つ最新のものと考えられています。また、TLSは後方互換性があり、SSLサーバーに接続することができます。

SSL "と "TLS "という用語は、インターネット上ではしばしば同じ意味で使われるが、後者は前者を置き換えたものである。多くの証明書発行者は、TLS証明書をSSL証明書と呼んでいます。

サイトにSSL証明書があるかどうかを確認する方法 

https:// 

ウェブサイトのアドレスが "HTTPS"の頭文字で始まっているかどうかを確認してください。HTTPSはHyper-Text Transfer Protocol Secureの略です。

南京錠アイコン 

SSL証明書を取得しているウェブサイトには、アドレスバーに南京錠のマークが表示されているはずです。南京錠のサインをクリックすると、SSL発行機関、有効期限、ウェブサイトの所有者についての詳細を知ることができます。

緑のアドレスバー 

緑色のアドレスバーは、EV SSL証明書を持つウェブサイトのSSLインジケータだった。しかし、アップルやグーグルなどの主要なブラウザ開発者は、現在では時代遅れと考えている。

ツール 

一部のウェブサイトやブラウザ拡張機能では、そのウェブサイトに有効なSSL証明書があるかどうかを確認できます。たとえば、SSL Shopperの「SSL Checker」にウェブサイトのURLを入力すれば、その証明書の詳細を確認できます。

SSL証明書のエラーとは何ですか? 

SSL証明書エラーは、ウェブサイトの証明書に問題がある場合に発生します。SSL証明書エラーは複数の理由で発生する可能性があります。無害な理由によるエラーもあれば、悪意のある要因によるエラーもあります。SSL証明書エラーが表示されたウェブサイトを開くときは、慎重に進めるのが最善です。

期限切れSSL証明書 

前述の通り、SSL証明書には有効期限があります。ウェブサイトの所有者がSSL証明書の更新を忘れることがあります。有効期限が切れたSSL証明書は、ブラウザにエラーメッセージを表示させます。

SSL証明書が信頼されていない 

すべてのブラウザは、信頼できるSSL証明書プロバイダーのリストにアクセスできます。ブラウザは、ウェブサイトのSSL証明書が信頼できないことを通知することがあります。例えば、証明書が自己署名されていたり、不正な発行元から取得されたものである場合、エラーが表示されることがあります。

SSLの設定ミス

SSL証明書を取得した後、ウェブサイトのオーナーはそれを正しくインストールし、設定する必要があります。SSL証明書の設定を誤ると、ウェブサイトにエラーが発生する可能性があります。

名前の不一致 

SSL証明書は、特定のドメインとサブドメインに対して発行されます。レコードの不一致はブラウザにエラーメッセージを表示させます。

SSL証明書の失効 

SSL証明書の発行者は、秘密鍵が漏洩した場合、またはドメインが閉鎖された場合、有効期限前に証明書を失効させることができる。また、ウェブサイトが証明書の失効を要求することもあります。SSL証明書が失効された理由にかかわらず、エラーとなります。

SSL証明書は無料ですか? 

すべてのSSL証明書が無料というわけではありませんが、中には無料で利用できるものもあります。無料のSSL証明書は通常、ドメイン認証(DV)証明書です。個人ページや小規模なビジネスに最適です。大規模なウェブサイトは、DV SSL証明書よりも優れたセキュリティとより多くの機能を提供する有料の証明書を取得する必要があります.

SSLのないウェブサイトはハッキングされるのか? 

SSL証明書は、ユーザーとウェブサイト間の接続を保護するだけです。SSL証明書の有無にかかわらず、ウェブサイトはさまざまな方法でハッキングされる可能性があります。脅威行為者は、セキュリティの脆弱性、脆弱なログイン認証情報、不十分なコーディング、古いソフトウェア、その他の手段を悪用して、ウェブサイトをハッキングすることができます。

ウェブサイトへのハッキング手法には、SQLインジェクション、クロスサイトスクリプティング(XSS)、この記録的なDDoS攻撃のようなブルートフォース攻撃マルウェアの配布、フィッシングなどがあります。

SSL証明書の有効期間 

かつてSSL証明書の有効期限が5年だった時期があった。しかし、この期間は何度か調整されている。2020年後半から、SSL証明書は13カ月以上発行できなくなった。

SSL証明書は、ウェブサイトが安全に利用できることを意味しますか? 

SSL証明書は、ウェブサイトへの接続が安全であることを意味しますが、必ずしもそのウェブサイトが安全に利用できるとは限りません。例えば、悪意のあるウェブサイトも、DV証明書などの一部の種類のSSL証明書を取得することができます。

フィッシング・サイトはDVの認証を行うこともありますが、名前、住所、パスワード、クレジットカード情報などの機密情報を盗むことを目的としています。フィッシング・サイトは一見合法的に見えますが、文法的な間違い、低品質のグラフィック、貧弱なデザイン、または良すぎるオファーがある場合があります。

さらに、脅威者はさまざまなツールやエクスプロイトを使用することで、SSL証明書を使用した正規のウェブサイトをハッキングすることができる。

以下は、ウェブサイトの安全性をチェックするのに役立ついくつかのステップです:

  • 使用方法 Malwarebytes Browser Guard を使用して、マルウェア、詐欺、その他の悪意のあるコンテンツを含むウェブページをブロックします。
  • VPN(仮想プライベートネットワーク)サービスに加入して、データを暗号化し、IPアドレスを隠しましょう。 VPN どのようにVPN データを暗号化し、位置情報を隠すのかについて学ぶことができます。
  • ウェブサイトのURLのスペルが正しいことを確認してください。Walmart.comになりすました基本的なSSL証明書を持つフィッシング・ウェブサイトは、1文字か2文字しか違わない非常によく似たアドレスを持っている可能性があります。例えば、Walmart.comの代わりに、Walmert.comやWalmrat.comと記載されている場合があります。
  • ブラウザのアドレスバーにある南京錠をクリックして、ウェブサイトの所有者の身元を確認し、証明書のオーソリティと有効期限を確認する。
  • ウェブサイトの安全性チェッカーでウェブサイトの評判を調べる。

アドレスバーにある南京錠のサインとHTTPSの頭文字を探し、SSL証明書を持っていることを確認してください。少なくとも、SSL証明書を持つウェブサイトは暗号化された接続を提供します。

ハッキングされたウェブサイトやフィッシング・ウェブサイトは、あなたのシステムをマルウェアに感染させる可能性もあります。 マルウェア対策をして、コンピュータやデバイスに悪意のあるソフトウェアがないことを確認しましょう。ブラウザのセキュリティを高めるために、 インターネットの安全に関するヒントをご覧ください。 

関連記事

SSIDとは何ですか?

IPアドレスとは

インターネットの安全に関するヒント

サイバーセキュリティとは

インターネット・セキュリティとは

よくあるご質問

SSL証明書とは何ですか?

SSL証明書の仕組み

SSLとTLSの違いは何ですか?

SSL証明書を取得していれば、そのウェブサイトは安全だと言えるのでしょうか?

SSL証明書には主にどのような種類がありますか?

SSL証明書の費用はいくらですか?

SSL証明書の有効期限が切れた場合はどうなりますか?

SSL証明書を取得しているウェブサイトでも、ハッキングされる可能性はあるのでしょうか?

ウェブサイトが本物か詐欺かを見分けるにはどうすればいいですか?