サイフにやさしいSSL証明書。ベリサイン(Verisign)、Geotrust、RapidSSLが低価格、最安。
メニューSSL証明書 - メニュー
ご相談はお気軽にお電話を:048-837-7778
よくある質問(FAQ)

 SSL証明書とは


SSL、SSL証明書とは


SSL(Secure Sockets Layer)とは、インターネット上の通信を暗号化するための仕組みです。

SSL証明書とは、SSL通信を行うサーバー側への設置が必要となる、
認証局(CA、シマンテックやジオトラストなど)から発行される電子証明書です。

暗号化で使われる共通鍵をサーバーとクライアントが受け渡しする際、
その信頼性を担保するためにSSL証明書が必要となり、次のような情報が含まれています。

SSL証明書の種類


SSL証明書には、下記の3種類があります。
※クライアント(PCやスマホなど)から信頼されていない認証局から発行された
証明書(自己署名の証明書(=オレオレ証明書)を含む)は、多くのブラウザで赤いバツマークが表示されます。

SSLのバージョン


SSLには以下のバージョンがあり、現在安全に利用できるものはTLS(Transport Layer Security)通信のみですが、
SSLという名称が広く普及しているため、現在も、TLS1.0以降の通信がSSL通信と呼ばれることも多く、
サーバー側に必要となる証明書も一般的には「SSL証明書」と呼ばれています。
Apacheであれば、例えば次のように設定してWebサーバーが提供するSSLのバージョンを定義します。

SSLProtocol all -SSLv2 -SSLv3

※将来的に、TLSの特定バージョンに脆弱性が発見された場合には、
そのバージョンをサーバー側で提供しないように設定変更する必要があります。

暗号・鍵交換・改ざん検知のアルゴリズム


SSL通信のデータ暗号化は共通鍵暗号方式(AES・Camelliaなど)で行われますが、
その暗号化で利用される共通鍵を、公開鍵暗号に基づく認証(RSA、DH、DSAなど)で事前に安全に交換します。
また、あわせて改ざん検知(SHA1、SHA-256などを利用)も行われます。

Apacheであれば、例えば次のように設定してWebサーバーが提供する暗号アルゴリズムのリストを定義します。
クライアント(Webブラウザ)は、サーバーが提供できるアルゴリズム一覧の中から自身が使えるアルゴリズムを選択して、
SSLのセッションが開始されます。

SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:.....

※将来的に、特定のアルゴリズムに脆弱性が発見された場合には、
そのアルゴリズムをサーバー側で提供しないように設定変更する必要があります。

※最近のIntelやAMDのCPUはAES-NIというAES暗号専用のハードウエア処理に対応していて、
また、ARMv8のCPUでもAES専用処理が可能なため、サーバー側でAESの優先度を上げたほうが効率がよいと思われます。

※現在策定中のTLS1.3ではChaCha20が採用される可能性もありますので、
SSLCipherSuiteの設定は、運用しながら時々見直しの必要があります。

常時SSL


前述のとおり、SSL/TLS通信には改ざん防止機能もあるため、
無線でのネット接続が多く行われるようになった現在、暗号化のみならず改ざん防止の点からもSSLの必要性が高まっています。

そのため、個人情報が送受信されるWEBページのみではなく、
Webサイト全体をSSL通信に対応させる「常時SSL」も実装され始めていて、
GoogleによるSEOの評価も、SSL対応しているサイトのほうが、若干ですが高いです。

Apache で mod_headers が有効であれば、次のように設定して常時SSLに対応可能です。
(HSTSを有効にして、httpへのアクセスをhttpsに強制リダイレクトします)

Header add Strict-Transport-Security "max-age=15768000"


どのSSL証明書を選べばよいのか


暗号強度は、前述のSSLバージョンや暗号アルゴリズムで決定されるため、
SSL証明書そのものによって盗聴・改ざんに強いSSL通信が担保されるわけではありません。

一般的にはは、次のような基準で選ばれる方が多いですが、詳細は弊社までお気軽にお取り次ぎください。
トップに戻る