前回SSLの基礎知識として、認証と暗号化、そして改ざん検出といった機能があることを紹介しましたが、これらの中でもっとも重要な機能と言えるのが認証です。そこで今回は、SSLが提供する認証について、あらためて解説していきます。
高まる個人情報保護の気運
通信内容を暗号化することによって盗聴を防ぐための技術として捉えられることが多い「SSL(Secure Socket Layer)」ですが、実はこれ以外にも重要な役割を担っています。それが通信相手が誰であるかを確認するための「認証」です。
認証と言って多くの人が思い浮かべるのは、サーバなどへ接続する際にユーザ名やパスワードを入力することではないでしょうか。これは、接続先であるサーバが接続元のクライアントを認証していることになりますが、特に重要な情報を送受信する際にはこれだけでは不十分です。なぜなら、接続先であるサーバが偽物の可能性も考えられるためです。
特にWebサイトの場合、本物のWebサイトで使われているHTMLや画像をダウンロードし、それをそのまま使えば簡単に偽のWebサイトを構築できてしまいます。このため、見た目ではWebブラウザを使って接続したWebサーバが本物かどうかは判断できません。
接続先のWebサーバが本物であるかどうかを確認するための方法の1つとして、よく言われているものにURLのチェックがあります。しかし「ファーミング」や「DNSポイズニング」といった手法が使われると、ユーザが正確なURLを入力しても偽物のWebサイトに誘導されてしまいます。このため、URLのチェックも確実な方法であるとは言えないのが現状なのです。
ただ、「接続しているWebサイトが本物かどうか」が判断できなければユーザは安心して利用することはできません。特に名前や住所、パスワード、あるいはクレジットカード番号など個人情報を送信する必要があるショッピングサイトやオンラインバンキングではなおさらでしょう。
そのためWebサイトの運営者は、それが本物であると確認できる手段をユーザに提供する必要があります。そこで利用されているのがSSLによる認証なのです。
第三者機関による証明で認証を実現
SSLによる認証では、Webサイトの運営者が誰であるかが記載された電子的な「証明書」を認証局と呼ばれる第三者機関が発行します。ユーザはこの証明書に記載された内容を確認することにより、本物のWebサイトであるかどうかを確認することができます。
証明書には、そのサイトの運営者や有効期限、証明書が設置されるサーバなどの情報が書き込まれています。このため有効期限が切れていたり、あるいは本来とは異なるサーバに証明書が設置されていると、Webブラウザはそれを検知してエラーを表示します。これによりすでに存在しない企業の名を騙ってWebサイトを運営したり、偽物のWebサイトに本物の証明書を設置してユーザを騙そうとしても、証明書の内容からそうした行為を検知できる仕組みになっています。
さらにこの証明書には、そこに記載されている内容が改ざんされていないことを確認するための電子署名が付加されています。これにより、証明書の内容の一部でも改ざんされると、認証局が発行した際の証明書の内容と異なることがわかります。たとえば悪意のある第三者が証明書の有効期限や設置するサーバの場所を書き換えるといった不正を行っても、電子署名を確認することで改ざんされたことがわかるというわけです。
信頼性の高いEV SSL証明書
ただ、この証明書の信頼性がそれを発行する認証局によって大きく左右される点には注意が必要です。たとえば悪意のある第三者が本物のWebサイトの運営者であるかのように装い、偽物のWebサイトで使うための証明書の発行を依頼する、といったことも十分考えられます。こうした申請を受理し、言われるがままに証明書を発行するような認証局から発行された証明書を信頼することはできないでしょう。
さらに申請内容の審査基準によっても、証明書の信頼性は大きく変わります。たとえばドメイン登録情報だけを確認する方法と、ドメインの使用権や企業の実在性まで含めて確認する方法で、信頼性に差が生まれるのは当然であると言えます。
ただし、従来はどの認証局から発行された証明書かを確認することはできても、それが適切な審査が行われて発行された証明書かどうかをユーザが確認することはできませんでした。そこで生まれたのが「EV SSL証明書」と呼ばれる仕組みです。
EV SSL証明書と従来の証明書の違いは、申請内容の審査の厳密さにあります。EV SSL証明書の発行には、たとえば企業が物理的に存在していることを確認するだけでなく、法的にも実在していることを確認しなければならないなど、詳細な発行要件が定められており、この審査をパスしなければ取得することができません。逆に言えば、こうした審査をきちんとクリアして発行されたEV SSL証明書は、それだけ信頼性が高いということになります。
EV SSLを利用するメリットとしては、Webブラウザのアドレスバーの表示が緑色に切り替わり、安心してアクセスできるWebサイトであることをユーザに理解してもらいやすいことが挙げられます。通常のSSLの場合、ウィンドウ下部のステータスバーの領域に単に鍵アイコンが表示されるだけで、きちんと確認しなければSSLによる通信なのかどうかがわかりません。一方EV SSLならば、ウィンドウ上部の目立つ位置にあるアドレスバーの表示が大きく変化するわけで、この違いは非常に大きいと言えるでしょう。
ユーザが安心して使えるWebサイトを実現
前述したとおり、インターネット上で公開されているWebサイトは容易に偽物を作成することが可能です。このため本物のWebサイトを装ってユーザを騙す詐欺行為が横行しています。こうした偽物のWebサイトの作成を阻止することは困難ですが、SSLを利用することによって本物のWebサイトをユーザに確認してもらうことは可能です。さらにEV SSLであれば、よりわかりやすい形でユーザに本物であることを証明し、安心して利用してもらうことができます。