SSLサーバ証明書【SSL server certificate】SSL/TLSサーバ証明書

概要

Web通信の暗号化に用いられるSSLや後継のTLSでは、接続手順の一部に公開鍵暗号を用いる。公開鍵暗号は公開鍵と秘密鍵という対になる2つの暗号鍵を利用する方式で、サーバの公開鍵をWebブラウザなどのクライアントに渡す必要がある。

インターネットのような信用できない経路で単に公開鍵をそのまま送ると改竄やすり替え、偽物のなりすましなどの危険があるため、サーバは事前に「認証局」（CA：Certificate Authority）という第三者にデジタル証明書の作成を申請し、クライアントにはこの証明書を送信する。

証明書を受け取ったクライアントは認証局に問い合わせることで、サーバが事前に申請した公開鍵であることを確かめることができる。証明書にはサーバの公開鍵以外にも、CAによるデジタル署名、サーバの身元に関する情報（ドメイン名や組織名など）が記載されている。

DV/OV/EV証明書の違い

SSLサーバ証明書はCAが申請者の情報をどこまで確認したかによっていくつかの種類に分かれる。最も簡易な「DV証明書」（Domain-Validated certificate）は証明書の発行時にサーバのドメイン名を確認するもので、クライアントは「確かにそのドメイン名に対して発行された証明書である」ことを検証できる。

「OV証明書」（Organization-Validated certificate）は発行時に法人登記などで申請者の実在性を確かめ、公開された連絡先などから申請確認を行って「なりすまし」でないことを確かめる。ドメイン名の所有権が申請者にあることも確認する。クライアントは実在の特定の法人や人物に発行されたものであることを検証できる。

最も厳しい「EV証明書」（Extended Validation certificate）はOV証明書の手続きをより厳格にしたもので、実在性の確認だけでなく事業の運営実態の確認や、担当者や責任者の明確化と申請手続きの執行を裏付ける書面の提出などを行う。確認プロセスは規格化されており、CA側も適切に審査を行っているか業界団体から監査を受ける。接続先がEV証明書を利用していることはブラウザ上の表示で見分けられるようになっている。