Q. SSLとは何ですか。

A.

SSL（Secure Socket Layer）とは、インターネットで通信される情報を暗号化する技術です。インターネット経路上での盗聴やデータ改ざん、なりすましを防ぐことができます。

SSLに対応しているWebサイトは、URLが「http」ではなく「https」から始まります。Webサイトの利用者はWebサイトの安全を確認することができ、個人情報やクレジットカード情報などの第三者に知られたくない情報を安心して送ることができます。

本サイトでは、SSLの後継のプロトコルも含めてSSLと表記しています。詳しくは、「Q. TLSとは何ですか。」をご覧ください。

Q. TLSとは何ですか。

A.

TLS（Transport Layer Security）とは、SSLの後継となるプロトコルです。現在、SSLはセキュリティ上の懸念から非推奨となっているため、多くの場合はTLSが利用されています。ただし、SSLが広く普及したことや、基本的な仕組みはSSLとTLSでほぼ同じであることから、TLSを慣例的にSSLと呼ぶことも多くあります。本サイトの記述も、この慣例にしたがってSSLと表記しています。

IIJサーバ証明書管理サービスで発行する証明書は、SSL/TLSのいずれの方式にも対応しています。

Q. サーバ証明書とは何ですか。

A.

信頼できる第三者機関がWebサイトの運営者の正当性を証明して発行する電子証明書です。Webサイトの利用者は、Webサイトの運営者の実在を確認でき、なりすましの被害を回避できます。

サーバ証明書には、Webサイト運営者自身に関する情報や、そのサーバ証明書を発行した認証機関の署名、暗号化に必要な公開鍵などが含まれています。SSLは、これらの情報を利用することで盗聴、改ざん、なりすましの防止を実現します。Webサイトの利用者は、Webサイトの運営者の正当性を確認しつつ、暗号化された安全な通信を行えるため、安心して情報を送ることができます。サーバ証明書の導入により、Webサイトの信頼性を示すことができます。

Q. サーバ証明書の種類の違いは何ですか。

A.

サーバ証明書には、「ドメイン認証(DV)型」「企業認証（OV）型」「EV型」の3種類があります。

それぞれの種類の特徴については、以下の認証機関のサイトよりご確認ください。

Q. 中間CA証明書とは何ですか。

A.

認証機関の信頼性を証明するために、別の認証機関から発行された電子証明書です。認証機関同士の信頼性の証明は、おおもとのルート認証機関を頂点とするツリー構造になっています。中間CA証明書には、ルート認証機関からの信頼を、個々のサーバ証明書につなぐ役割があります。

中間CA証明書は、サーバ証明書と合わせてサーバにインストールする必要があり、各認証機関のWebサイトなどから取得できます。申請代行証明書品目で提供しているサーバ証明書の各認証機関では、以下のページから取得できます。

Q. ルート証明書とは何ですか。

A.

認証機関の信頼性を証明するためには、別の認証機関から電子証明書を取得します。この認証機関同士の信頼性の証明は、おおもとのルート認証機関を頂点とするツリー構造になっています。このルート認証機関が、自身の信頼性を証明するために発行するのが、ルート証明書です。

社会的に信頼されるルート認証機関（本サービスで対応しているサーバ証明書の認証機関を含む）から発行されたルート証明書は、主要なWebブラウザやメールソフトなどのユーザクライアントにプリインストールされています。

ルート証明書がプリインストールされていないクライアントを利用している場合は、各認証機関のWebサイトなどから取得の上、インストールしてください。申請代行証明書品目で提供しているサーバ証明書の各認証機関では、以下のページで取得できます。

Q. コモンネームとは何ですか。

A.

サーバ証明書のコモンネームとは、サーバ証明書をインストールしてSSL暗号化通信を行うサイトのURLのことであり、CSRを作成する際に1つ指定するものです。

Q. CSRとは何ですか。

A.

CSR（Certificate Signing Request）とは、サーバ証明書を取得するための申請書のようなものです。お申し込みの際に認証機関へ提出する必要があります。CSRには、申請に先立って作成した公開鍵と、組織名や所在地などの情報（ディスティングイッシュネーム）が含まれます。認証機関は提出されたCSRに対して電子署名を行い、サーバ証明書として発行します。

本サービスでは、CSRと秘密鍵の作成に役立つ「CSR/秘密鍵作成ツール」を提供しています。本ツールを利用する場合を含め、弊社が作成するCSRの形式は、PKCS#10、PEM形式であり、秘密鍵の暗号化方式は、AES256です。

Q. 公開鍵・秘密鍵とは何ですか。

A.

データの暗号化と、暗号化された情報を元に戻すために用いる2種類の鍵のことです。通常、暗号化に公開鍵を、元に戻すために秘密鍵を用います。公開鍵は、その名のとおり広く一般に配布され、配布元に対して暗号化通信をするために利用されます。暗号化された情報を意味のわかる状態に戻すことができるのは、秘密鍵だけです。秘密鍵は外部に漏らさず大切に保管します。

サーバ証明書の暗号化通信機能は、この公開鍵と秘密鍵のペアを用いる公開鍵暗号方式です。サーバ証明書の取得の際に、公開鍵と秘密鍵のペアを作成し、所有者情報と共に公開鍵を認証機関に提出します。認証機関から発行されるサーバ証明書には、この公開鍵が含まれており、サーバ証明書の配布と共に広く一般に配布されます。ペアとなる秘密鍵だけが、このサーバ証明書による暗号化通信を元に戻すことができるため、情報漏えいを防ぐことができます。

暗号化方式には、他に、データの暗号化と、暗号化された情報を元に戻す鍵が同じ、共通鍵暗号方式があります。サーバ証明書の暗号化通信では、共通鍵暗号方式も組み合わせて利用されます。

Q. ワイルドカード証明書とは何ですか。

A.

ワイルドカード証明書は、1つのドメインに属するサブドメインまでを、1枚のサーバ証明書でSSL暗号化通信の保護対象とする証明書です。

例えば、コモンネーム「*.example.jp」のサーバ証明書は「www.example.jp」「sub.example.jp」のどちらのサーバでも利用できます。また、ワイルドカード(*)が保護対象とするサブドメインは1階層のみであるため、コモンネーム「*.example.jp」のサーバ証明書を「aaa.bbb.example.jp」のサーバでは利用できません。

認証機関によっては、サーバ証明書にマルチドメインネームを登録することで、複数階層に対応したワイルドカード証明書の発行を行なっている場合もございます。各認証機関が発行するサーバ証明書の仕様については、お客様でお調べください。

なお、本サービスの持ち込み証明書品目では、ワイルドカード証明書（例：*.example.jp）の持ち込みは可能ですが、ワイルドカードを複数重ねたコモンネーム（例：*.*.example.jp）のサーバ証明書は持ち込みできません。Subject Alternative Names(SANs)のフィールドにワイルドカードを複数重ねたFQDNが登録されているものも、同様に持ち込みできません。

Q. マルチドメイン証明書とは何ですか。

A.

マルチドメイン証明書とは、サーバ証明書のSubject Alternative Names(SANs) のフィールドにマルチドメインネームを登録することにより、1枚で複数ドメインやサブドメインをSSL暗号化通信の保護対象とする証明書です。

なお、本サービスの申請代行証明書品目では、マルチドメイン証明書の利用には対応しておりません。持ち込み証明書品目の場合は、お客様が認証局から取得したマルチドメイン証明書を登録して本サービスを利用できます。

Q. Certificate Transparencyとは何ですか。

A.

Certificate Transparency（以下、CT）とは、サーバ証明書の信頼性を高めるための技術の1つであり、不正に発行されたサーバ証明書を早期に検知するための仕組みです。詳しくは、各認証機関のWebサイトをご覧ください。

なお、申請代行証明書品目で提供しているサーバ証明書はすべてCTに対応して発行されます。

 各認証機関のCTへの対応については、以下のページに詳細が記載されています。