SSLサーバ証明書の仕組みに関すること

Q. SSLとは何ですか。

A.

SSL(Secure Socket Layer)とは、インターネットで通信される情報を暗号化する技術です。インターネット経路上での盗聴やデータ改ざん、なりすましを防ぐことができます。

SSLに対応しているWebサイトは、URLが「http」ではなく「https」から始まります。Webサイトの利用者はWebサイトの安全を確認することができ、個人情報やクレジットカード情報などの第三者に知られたくない情報を安心して送ることができます。

本サイトでは、SSLの後継のプロトコルも含めてSSLと表記しています。詳しくは、「Q. TLSとは何ですか。」をご覧ください。

 

Q. TLSとは何ですか。

A.

TLS(Transport Layer Security)とは、SSLの後継となるプロトコルです。現在、SSLはセキュリティ上の懸念から非推奨となっているため、多くの場合はTLSが利用されています。ただし、SSLが広く普及したことや、基本的な仕組みはSSLとTLSでほぼ同じであることから、TLSを慣例的にSSLと呼ぶことも多くあります。本サイトの記述も、この慣例にしたがってSSLと表記しています。

IIJサーバ証明書管理サービスで発行する証明書は、SSL/TLSのいずれの方式にも対応しています。

 

Q. SSLサーバ証明書とは何ですか。

A.

信頼できる第三者機関がWebサイトの運営者の正当性を証明して発行する電子証明書です。Webサイトの利用者は、Webサイトの運営者の実在を確認でき、なりすましの被害を回避できます。

SSLサーバ証明書には、Webサイト運営者自身に関する情報や、そのSSLサーバ証明書を発行した認証機関の署名、暗号化に必要な公開鍵などが含まれています。SSLは、これらの情報を利用することで盗聴、改ざん、なりすましの防止を実現します。Webサイトの利用者は、Webサイトの運営者の正当性を確認しつつ、暗号化された安全な通信を行えるため、安心して情報を送ることができます。SSLサーバ証明書の導入により、Webサイトの信頼性を示すことができます。

 

Q. SSLサーバ証明書の種類の違いは何ですか。

A.

SSLサーバ証明書には、「ドメイン認証(DV)型」「企業認証(OV)型」「EV型」の3種類があります。

それぞれの種類の特徴については、以下の認証機関のサイトよりご確認ください。

認証機関Webサイト
デジサート社https://www.websecurity.digicert.com/ja/jp/theme/ssl-compare
ホーム > theme > SSLサーバ証明書の種類と比較
サイバートラスト社

https://www.cybertrust.ne.jp/sureserver/lineup/

HOME > 製品・サービス > SureServer > SSL/TLSサーバ証明書 SureServer 製品ラインアップ
グローバルサイン社

https://jp.globalsign.com/ssl-pki-info/ssl_beginner/types-of-ssl.html

GMOグローバルサイン > SSLとPKI・電子証明書ガイド > SSL初心者向け > SSLの種類と利用用途

 

Q. 中間CA証明書とは何ですか。

A.

認証機関の信頼性を証明するために、別の認証機関から発行された電子証明書です。認証機関同士の信頼性の証明は、おおもとのルート認証機関を頂点とするツリー構造になっています。中間CA証明書には、ルート認証機関からの信頼を、個々のSSLサーバ証明書につなぐ役割があります。

中間CA証明書は、SSLサーバ証明書と合わせてサーバにインストールする必要があり、各認証機関のWebサイトなどから取得できます。申請代行証明書品目で提供しているSSLサーバ証明書の各認証機関では、以下のページから取得できます。

認証機関Webサイト
デジサートhttps://www.digicert.co.jp/repository/intermediate.html
デジサート・ジャパン トップリポジトリ > 中間CA証明書
サイバートラスト社

https://www.cybertrust.ne.jp/sureserver/support/download_ca.html

HOME > 製品・サービス > SureServer > サポート > SureServer 証明書、および SureMail 証明書 ルート・中間 CA 証明書のダウンロード
グローバルサイン社

https://jp.globalsign.com/support/rootcertificates/index.html

SSLのグローバルサイン(ホーム) >サポート・お申し込みガイド > ルート証明書/中間CA証明書
  • デジサート社のEV証明書において、2017年12月1日以降に発行されるSSLサーバ証明書に対応するクロスルート設定用の中間CA証明書を利用した場合に、サーバへアクセスしてもWebブラウザのアドレスバーが緑色にならない問題がございますので、ご注意ください(2019年11月14日現在)
    https://knowledge.digicert.com/ja/jp/generalinformation/INFO4700.html
  • 以下のサイバートラスト社およびグローバルサイン社の品目は、サーバ証明書の発行日によって利用する中間CA証明書、およびルート証明書が異なりますのでご注意ください。日付等の詳細については、上記表にある各認証機関のWebサイトよりご確認ください
    • SureServer for クラウド
    • SureServer(旧品目)
    • 企業認証SSL
    • 企業認証SSL/ワイルドカードオプション
    • クイック認証SSL
    • クイック認証SSL/ワイルドカードオプション
    なお、各認証機関が示している期日以前に発行されたSSLサーバ証明書は、利用中の中間CA証明書を有効期限まで利用を継続できますが、期日以降にサーバ証明書の再発行や更新を行った後は、期日以降に発行されたサーバ証明書用の中間CA証明書に変更する必要があります。

 

Q. ルート証明書とは何ですか。

A.

認証機関の信頼性を証明するためには、別の認証機関から電子証明書を取得します。この認証機関同士の信頼性の証明は、おおもとのルート認証機関を頂点とするツリー構造になっています。このルート認証機関が、自身の信頼性を証明するために発行するのが、ルート証明書です。

社会的に信頼されるルート認証機関(本サービスで対応しているSSLサーバ証明書の認証機関を含む)から発行されたルート証明書は、主要なWebブラウザやメールソフトなどのユーザクライアントにプリインストールされています。

ルート証明書がプリインストールされていないクライアントを利用している場合は、各認証機関のWebサイトなどから取得の上、インストールしてください。申請代行証明書品目で提供しているSSLサーバ証明書の各認証機関では、以下のページで取得できます。

認証機関Webサイト
デジサート

https://www.digicert.co.jp/repository/root.html

デジサート・ジャパン トップリポジトリルート証明書
サイバートラスト社

https://www.cybertrust.ne.jp/sureserver/support/download_ca.html

HOME > 製品・サービス > SureServer > サポート > SureServer 証明書、および SureMail 証明書 ルート・中間 CA 証明書のダウンロード
グローバルサイン社

https://jp.globalsign.com/support/rootcertificates/index.html

SSLのグローバルサイン(ホーム) >サポート・お申し込みガイド > ルート証明書/中間CA証明書

 

Q. コモンネームとは何ですか。

A.

SSLサーバ証明書のコモンネームとは、SSLサーバ証明書をインストールしてSSL暗号化通信を行うサイトのURLのことであり、CSRを作成する際に1つ指定するものです。

 

Q. CSRとは何ですか。

A.

CSR(Certificate Signing Request)とは、SSLサーバ証明書を取得するための申請書のようなものです。お申し込みの際に認証機関へ提出する必要があります。CSRには、申請に先立って作成した公開鍵と、組織名や所在地などの情報(ディスティングイッシュネーム)が含まれます。認証機関は提出されたCSRに対して電子署名を行い、SSLサーバ証明書として発行します。

本サービスでは、CSRと秘密鍵の作成に役立つ「CSR/秘密鍵作成ツール」を提供しています。本ツールを利用する場合を含め、弊社が作成するCSRの形式は、PKCS#10、PEM形式であり、秘密鍵の暗号化方式は、AES256です。

 

Q. 公開鍵・秘密鍵とは何ですか。

A.

データの暗号化と、暗号化された情報を元に戻すために用いる2種類の鍵のことです。通常、暗号化に公開鍵を、元に戻すために秘密鍵を用います。公開鍵は、その名のとおり広く一般に配布され、配布元に対して暗号化通信をするために利用されます。暗号化された情報を意味のわかる状態に戻すことができるのは、秘密鍵だけです。秘密鍵は外部に漏らさず大切に保管します。

SSLサーバ証明書の暗号化通信機能は、この公開鍵と秘密鍵のペアを用いる公開鍵暗号方式です。SSLサーバ証明書の取得の際に、公開鍵と秘密鍵のペアを作成し、所有者情報と共に公開鍵を認証機関に提出します。認証機関から発行されるSSLサーバ証明書には、この公開鍵が含まれており、SSLサーバ証明書の配布と共に広く一般に配布されます。ペアとなる秘密鍵だけが、このSSLサーバ証明書による暗号化通信を元に戻すことができるため、情報漏えいを防ぐことができます。

暗号化方式には、他に、データの暗号化と、暗号化された情報を元に戻す鍵が同じ、共通鍵暗号方式があります。SSLサーバ証明書の暗号化通信では、共通鍵暗号方式も組み合わせて利用されます。

 

Q. ワイルドカード証明書とは何ですか。

A.

ワイルドカード証明書は、1つのドメインに属するサブドメインまでを、1枚のSSLサーバ証明書でSSL暗号化通信の保護対象とする証明書です。

例えば、コモンネーム「*.example.jp」のSSLサーバ証明書は「www.example.jp」「sub.example.jp」のどちらのサーバでも利用できます。また、ワイルドカード(*)が保護対象とするサブドメインは1階層のみであるため、コモンネーム「*.example.jp」のSSLサーバ証明書を「aaa.bbb.example.jp」のサーバでは利用できません。

認証機関によっては、SSLサーバ証明書にマルチドメインネームを登録することで、複数階層に対応したワイルドカード証明書の発行を行なっている場合もございます。各認証機関が発行するSSLサーバ証明書の仕様については、お客様でお調べください。

なお、本サービスの申請代行証明書品目では、ワイルドカード証明書(例:*.example.jp)の持ち込みは可能ですが、ワイルドカードを複数重ねたコモンネーム(例:*.*.example.jp)のSSLサーバ証明書は持ち込みできません。Subject Alternative Names(SANs)のフィールドにワイルドカードを複数重ねたFQDNが登録されているものも、同様に持ち込みできません。

 

Q. マルチドメイン証明書とは何ですか。

A.

マルチドメイン証明書とは、SSLサーバ証明書のSubject Alternative Names(SANs) のフィールドにマルチドメインネームを登録することにより、1枚で複数ドメインやサブドメインをSSL暗号化通信の保護対象とする証明書です。

なお、本サービスの申請代行証明書品目では、マルチドメイン証明書の利用には対応しておりません。持ち込み証明書品目の場合は、お客様が認証局から取得したマルチドメイン証明書を登録して本サービスを利用できます。

 

Q. Certificate Transparencyとは何ですか。

A.

Certificate Transparency(以下、CT)とは、SSLサーバ証明書の信頼性を高めるための技術の1つであり、不正に発行されたSSLサーバ証明書を早期に検知するための仕組みです。詳しくは、各認証機関のWebサイトをご覧ください。

なお、申請代行証明書品目で提供しているSSLサーバ証明書の各認証機関では、以下のページに詳細が記載されております。

認証機関Webサイト
デジサートhttps://www.websecurity.digicert.com/ja/jp/theme/ssl-certificate-transparency?id=ssl-certificate-transparency

ホーム > themeCertificate Transparency(証明書の透明性)

サイバートラスト社

https://www.cybertrust.ne.jp/sureserver/productinfo/ct.html

HOME > 製品・サービス > SureServer > 製品技術情報 > Certificate Transparencyについて

グローバルサイン社

https://jp.globalsign.com/blog/2014/certificate_transparency.html

グローバルサインブログ > Certificate Transparency

また、申請代行証明書品目で取得できるSSLサーバ証明書のCTへの対応状況は、以下のとおりです。

認証機関品目CTへの対応状況補足
デジサートセキュア・サーバID EV対応

デジサートのSSLサーバ証明書の品目は、CTに対応するか否かを選択できます

CTに対応することを選択した場合は、お客様のSSLサーバ証明書の情報が、CTの監査サーバに登録されます。

グローバル・サーバID EV
セキュア・サーバID
グローバル・サーバID
セキュア・サーバID EV ※クラウド証明書
グローバル・サーバID EV ※クラウド証明書
セキュア・サーバID ※クラウド証明書
グローバル・サーバID ※クラウド証明書
サイバートラスト社SureServer EV for クラウド対応サイバートラスト社のSSLサーバ証明書の品目は、すべてCT対応です。CT非対応のSSLサーバ証明書は発行されません
SureServer for クラウド
SureServer(※旧品目)
グローバルサイン社クイック認証SSL対応クイック認証SSL(ワイルドカードオプション付きを含む)品目は、CT対応です。CT非対応のSSLサーバ証明書は発行されません
クイック認証SSL/ワイルドカードオプション付き
企業認証SSL対応

企業認証SSL(ワイルドカードオプション付きを含む)品目は、CT対応です。CT非対応のSSLサーバ証明書は発行されません

企業認証SSL/ワイルドカードオプション付き