SSL暗号化通信とSSL証明書の違い【SSLは100%安全ではない】

2018/8/30 IT用語集

みなさん、こんにちは!

ブリュの公式ブログ.netにお越しいただきまして、ありがとうございます。

このサイトでは、ITについて特化したサイトを運営しています。

今回は、SSL化されたサイトは安全なのか?について、SSL証明書の観点から解説します!

スポンサーリンク

SSL通信とSSL証明書の違い(基本的に別物です。)

基本的に、SSL通信とSSL証明書は別物です。

  • SSL通信:通信経路の安全性を暗号化により保障するもの
  • SSL証明書:通信相手の信頼性(実在性)を保証するもの

ポイントとして、SSL証明書がなければSSL通信はできません。

しかし、キーになるのSSL証明書は、認証レベルの低いもの(実在性まで保証していないもの)であれば、誰でも発行できます。

つまり、誰でも発行できる信頼性の保証されていないSSL証明書を使用したSSL通信を行った場合、通信経路は安全ですが、通信相手が危険という状況が起こりえます。

上記のポイントとして、

  • SSL通信:暗号化して安全性(改ざんや通信内容の盗聴)を保障
  • SSL証明書:相手のことまでは知らん

となります。

SSL通信は、通信の安全性を保障するもの

SSL化されたサイトは安全であるとの認識がありますが、それは通信における話だけです。

通信中に、第三者が盗聴あるいは改ざんを行うことが不可能であり、サーバーとの送受信において完全にプライバシーが保護されるためです。

SSL通信は、基本的には公開鍵暗号と共通鍵暗号を利用した、高速なハイブリッド暗号化通信を行うことで、通信経路の安全性のみを保障します。

SSL通信確立までの詳細は、下記の記事をご覧ください。

SSL/TLS暗号化通信確立までの手順

したがって、SSL化されているサイトでクレジットカードの情報を入力しても、第三者には漏洩しません。

あくまでも第三者には・・・です。

ですが、そのサイト運営者自体は信頼できるのでしょうか・・・?

実は、詐欺サイトだってSSL化できるんです。

SSL証明書の種類とは?

SSL証明書には、大きく分けて3種類のものが存在します。

ドメイン認証型SSL証明書

ドメイン認証型は、SSL証明書の中では最も信頼性の低いものです。

SSL証明書も、無料のものもあり、この無料のSSL証明書はドメイン認証型です。

独自ドメインの所有権だけを確認できれば、誰でも取得できます。

独自ドメインは年間1,000円程度です。

日本国内で大手のドメイン取得サービスは、

があります。

しかし、ドメインさえあればだれでも取得できるSSL証明書。

もちろん、詐欺サイトだって取得できます。

このドメイン認証型のSSL証明書では、通信を暗号化すること以外に意味はないと思ってください。

絶対に、クレジットカードの情報を入力してはダメです。

第三者への漏洩の心配はないですが、サイト運営者自体への信頼性が全くありませんから。

なお、当サイトでは無料のドメイン認証型SSL証明書を導入しています。

もちろん、詐欺サイトなんかじゃありません。

情報を発信するサイトであり、クレジットカード情報などの管理がシビアな情報は取り扱いませんから、通信が暗号化されていれば十分です。

そのため、無料のSSL証明書で問題ありません。

今後時代の変化とともに、単なるブログでも所有者の信頼性を・・・なんてなったら、その時に上位のSSL証明書を取得すれば十分でしょう。

企業認証型SSL証明書

企業認証型SSL証明書は、ドメインに加えWebサイトを運営している組織の実在性を証明する証明書です。

したがって、最低限、サイトを運営している組織の実在性は証明されています。

第三者機関(調査会社等)が保有する情報の照会を行い、電話による確認などを行うことから、認証強度が強く、高い信頼性のあるSSL証明書です。

これは完全に有料のSSL証明書になります。

企業認証型SSL証明書は、企業の実在性を確認している分、ドメイン認証型よりはマシです。

ただ、本気でセキュリティが必要な、セキュリティ意識の高い会社は、後述のEV型SSL証明書を利用しています。

EV型SSL証明書

EV型のSSL証明書は、サイトを運営している組織の実在が保証され、さらには所在地の認証も行われます。

さらに、URL欄に、その組織の名称までもが表示されます。

例えば、ノートンのウェブサイトを見てみましょう。

私自身がお世話になっているウイルスセキュリティソフトであるノートンは、シマンテックというアメリカの会社が運営しています。

ちゃんとURL欄に、Symantec Corporation [US]と表示されています。

これが、EV型SSL証明書です。

金融業界でいえば、三井住友海上火災保険が、EV型SSL証明書を導入しているようです。

こちらも、Mitsui Sumitomo Insurance Co., Ltd. [JP]と表示されています。

まとめ

ここまで、SSL暗号化通信とSSL証明書の違いについて説明してきました。

一番知ってほしいことは、SSL通信だからといっても安全ではないことです。

  • SSL通信は、通信を暗号化し(改ざん・盗聴からの)安全性を保つもの
  • SSL証明書は、サイト運営者の信頼性を保つもの

という違いを知って、詐欺サイトでもSSLは導入できるということを知っておいてください。

一時期、Googleを装って、「iPhoneが当選しました!」などと書いているフィッシングサイトもSSL化されていたはずです。

いつもと違うネットショップでクレジットカードの情報などを入力する際は、SSL証明書の内容まで確認するようにしてください。

Amazonや楽天でショッピングする際も、誤って偽サイトにアクセスしていないかを確認するようにしましょう。

もし実在しないなど、何らかの不信感があればいったん購入は控えましょう。

では、ネットショッピングを安全に楽しんでください。

これで、詐欺サイトへの不安はなくなります!

もし興味があれば、SSL暗号化通信(盗聴できない暗号化通信)が成立するまでについて知っておくといいでしょう。

インターネット上には、

  • 公開鍵暗号
  • 共通鍵暗号

という2種類の暗号化方式があり、この2つを組み合わせることでSSLは成立しています。

※これをハイブリッド暗号化通信といいます。

詳細は以下の記事で紹介していますので、参考にしてください。

SSL/TLS暗号化通信確立までの手順