#post_title #separator_sa #site_title | レンタルサーバーのSpeever

はじめに

まだ「SSLとは(https://speever.jp/useful/glossary-ssl/)」の記事をお読みいただいていない方は、本稿より先にそちらをお読みください。

SSLの認証レベルとは何か

SSLの認証レベルとは、一言でいうと、SSL証明書に記載されたホスト(コモンネーム)の信頼性を3段感で表したものとなります。

例えば、www.example.comというホスト名のSSL証明書を取得する際、証明書を発行する認証局によって大なり小なりの審査が行われます。

認証レベルが高いほど、この審査がより厳格になり、結果として、そのホストに対する信頼性が認証局によって保証されます。

認証レベルと暗号化強度の違い

現在のSSLの多くは、共通鍵暗号であるAESと、公開鍵認証方式であるRSAという2つの暗号化方式の組み合わせで、安全な通信を実現しています。

これら暗号化の強度は、証明書の認証レベルとは関係がありません。

どの認証レベルであっても、暗号化の強度は同じになります。

認証レベルの違い

SSLの認証レベルには、以下の3つがあります(下になるほど信頼性が高い)。

・ドメイン認証(DV)
・組織認証(OV)
・EV認証(EV)

ドメイン認証(DV)

ドメイン認証(Domain Validation)は、その名の通りドメインの認証のみを行います。

ドメインの認証とは、そのドメインの特定のメールアドレスで受信ができる、そのドメインのURLでサイトが公開できる、などの方法で行われ、これらの認証をすることで、そのドメインに関わりない第三者が証明書されたものではない、という信頼性が保証されています。

個人や登記されていない団体がSSL証明書を取得できるSSLの認証レベルは、ドメイン認証のみとなります。

ドメイン認証には、一般的には以下のような方式いずれかが利用されます。

・メール認証
・ページ認証(ウェブ認証)
・DNS認証

メール認証

そのドメインの特定のメールアドレス、またはそのドメインのWhois記載のメールアドレスのいずれかに認証局がメールを配信し、そのメールの内容で指示されたアクション(返信する、または本文に記載されたURLにアクセスするなど)を行うことで認証が完了します。

「特定のメールアドレス」とは、多くの認証局では、以下のメールアドレスを指します。

・admin@
・administrator@
・hostmaster@
・postmaster@
・webmaster@

ページ認証(ウェブ認証)

そのドメインのウェブページ内に、所定のファイルを設置し、そのファイルに認証用の文字列を記載して、該当URLに認証局にアクセスしてもらうことで、認証できます。

多くの認証局では、ドキュメントルート下に.well-known/ pki-validationディレクトリに、指定のファイルを置くことが要求されます。

例:
http://www.example.com/.well-known/ pki-validation/指定のファイル.txt

注意点としては、www.有り/無しどちらでも利用可能な証明書をページ認証で取得する際には、認証URLもwww.有り/無しどちらでもアクセス可能にしておく必要があります。

DNS認証

そのドメインの所定のDNSレコード(一般的にはtxtレコード)に認証用の値を設定して、認証局に該当レコードを名前解決してもらうことで認証できます。

特別なドメイン認証の審査

有償のSSL証明書では、上記の認証に加えて、例えばコモンネームに”amazon”のような文言が含まれている場合など、証明書がなりすましやフィッシングサイトに利用されないような審査も行います。

Let’s Encriptのような無償の証明書は、一般的にこのような対策は行われないため、信頼性の観点からはドメイン認証であっても、有償の証明書を利用されることをおすすめします。

組織認証(OV)

組織認証(Organization Validation)は、上記のドメイン認証に加えて、SSL証明書を取得する組織が法的に実在するかも審査の対象となります。必然的に取得できるのは登記済み組織のみとなります。

多くの認証局では、法的実在性の確認に加えて、(帝国データバンクや東京商工リサーチなどの)企業データベースに記載の代表電話番号への電話認証を行うことがあります。

OV認証のSSL証明書は、ブラウザのアドレスバーにある鍵マークで確認できる証明書の詳細情報に、企業名と所在地(都道府県と市区町村名)が記載されます。

EV認証(EV)

EV認証(Extended Validation)は、ドメイン認証と組織認証に加えて、事業や運営の確認を含む最も厳格な審査が行われる証明書です。DVやOVは認証局によって認証基準が異なる場合はありますが、EV認証は世界中すべての認証局で「EVガイドライン」と呼ばれる同じ基準により認証されます。

EV認証のSSL証明書は、ブラウザのアドレスバーにある鍵マークをクリックすることで、企業名と所在地を簡単に確認することができます。

どの認証レベルのSSL証明書を用いるか

個人または登記されていない団体では、ドメイン認証のSSLしか取得できません。

ショッピングカートシステムなど、一定の信頼性を求められるサイトを運用されている場合は、OV以上の認証レベルをおすすめします。

金融系など、大きな信頼性を求められるサイトの場合は、EV認証のSSLを利用するべきでしょう。

付記:一部の属性型jpドメインについて

.co.jpなど、取得の際に登記情報が必要なドメインであれば、実在性という意味では一定の信頼性が確保されていると考えられます。

しかしながら、whoisに掲載される情報の掲載には厳格な審査があるわけではないため、OV認証の代わりになり得るものではないことはご留意ください。

よかったらシェアしてね！

URLをコピーしました！

この記事を書いた人

大和（やまと） DX推進アドバイザー

肩書：Chief Digital Transformation Officer
名前：大和（やまと）
経歴：プログラマー、ネットワークエンジニアを経てDX推進を担当
　　　ホスティング事業、クラウド事業に精通し、クラウド黎明期から
　　　一貫して「初心者の方にも分かりやすく」がモットー。
　　これからもクラウド、DXを通じてお客様のお役に立ちたい。
保有資格：基本情報技術者｜DX推進アドバイザー｜情報セキュリティー管理士

この著者の記事一覧へ