SSLサーバー証明書はセキュア通信最後の砦。衝撃の事実がここに! | 良いモノBANK

SSLサーバー証明書はセキュア通信最後の砦。衝撃の事実がここに!

この記事は約6分で読めます。
スポンサーリンク

Webサイト常時SSL対応ってなに?という前にSSLのことを軽く説明しよう。

image

Microsoft Windows Server 2008 PKI & 認証セキュリティ大全 Kindle版

Microsoft Windows Server 2008 PKI & 認証セキュリティ大全 Kindle版

わかりやすく言うとWebサイトと見ているユーザのデータ(フォームへの名前や住所などの入力データ)を盗まれても解読しにくい、暗号化するための仕組みと言えばわかりやすいだろうか。Google側が2018年8月からはWebブラウザのChrome(バージョン68以降)で、HTTPSが提供されないサイトでは「保護されていない通信」と表示するまでは、せいぜい銀行やカード会社などの必要最低限のweb入力フォームなどに使われていた程度のだ。実は、「悪意のある第三者」が通信の中身を盗み見るのは朝飯前で、悪用することが簡単に出来てしまう。「悪意のある第三者」でなくても会社のシステム管理者は普通に社員のwebメールの内容は全て見ることができるのだ。なので会社で無料メールに送ったり、怪しいメールを開いたりもすべてお見通しなので、会社のメーラーを私用で使うと後で面倒なことになるので業務メールと私用メールはきちんと分けて使わないといけない。それにちょっと知識があれば非SSLの公共Wi-Fiを盗み見可能なのだ。

「http」と「https」ってなんだろう。

それぞれ、「HyperText Transfer Protocol(はいぱーてすきと とらんすふぁー ぷろとこる)」、「Hyper Text Transfer Protocol Secure(はいぱーてすきと とらんすふぁー ぷろとこる せきゅあ)」の略である。偉い人が作った通信の手段。そのおかげでこうやってこのページも見ることが出来るのだ。ありがたやありがたや。

 

猫ちゃん
猫ちゃん

はいぱーてすきと とらんすふぁー ぷろとこる せきゅあー。

うーん。わたし舌を噛みそう。

雫おっちゃん
雫おっちゃん

猫舌をね。(笑)

 

SSL化とは、インターネット通信での暗号化のこと。

そもそも、インターネットの非SSL通信(http)は暗号化しない限りただのテキストデータとしてやり取りされるのである。ご存じだっただろうか。どういうことかというと、わかりやすくメールで例えると、昔文字化けして読めないメールが届いたことはないだろうか。その届いた文字化けメールが「暗号化処理」のイメージである。たとえメールが漏れてしまっても、読むことが難しい。その文字化けメールをエンコード処理をすると(JISコード等に)普通の文字になって読めるのである。これが暗号化の復元のイメージなのである。

SSL化して暗号化すれば大丈夫?

SSL化しても理論上は解読可能なのであるが、膨大な時間がかかるので現実的ではない。この現実的ではないことを「悪意のある第三者」はわかっているので、フィッシング詐欺に走るのだ。いわゆる「なりすまし」である。とあるオンラインショップに送るユーザーのカード情報を盗み読みたいとした場合、ユーザーのカード情報を盗み取る偽のサーバを立ち上げ(一種のプロクシーサーバー)、ユーザーと本物のSSLサイトとの通信をそっくり中継する非常に巧妙な仕組みになっていて、ユーザーには、本物と見分けがつかないのである。そのページに表示されるコンテンツは本当に、バナーやフォント、おまけに背景や広告迄、本物のSSLサイトの画面構成なのだ。
そうしてユーザーをweb広告やメールなどで偽のサーバに誘導するのである。ユーザーは偽物だとは考えるはずもなく、用意されたSSL通信で偽サーバに接続し、それとの間で「本物の暗号化通信」を行うのだ。ユーザーもSSLで通信されていれば疑う余地もない。偽のサーバはユーザーとの通信内容(IDとパスワード)を復号し盗まれてしまうのである。

偽物との見分け方

簡単に言うとwebサーバーの持ち主(サイト管理者)が認証局によりドメインの持ち主(webサーバーの持ち主)であると保証されるのである。それが各種SSLサーバー証明書なのだ。

 

猫ちゃん
猫ちゃん

サーバーより鯖が食べたいわ。

雫おっちゃん
雫おっちゃん

ち、ちゃんと、サーバーの話を聞いてね…。

そもそもこのSSL証明書が必要な理由はお分かりだろうか?
企業では、このSSL証明書(デジタル証明書)という目に見えない実体のないものに20万円、30万円と高額なのに支払っているのだ。それは、「悪意のある第三者」が とある某有名どころの認証局にSSL証明書を発行しようとして申請しても、よほど不正な手段を取らない限り発行は拒否される。不正な手段でSSL証明書を発行させることを防ぐために、認証局は登記事項証明書や印鑑登録証明書を用いて申請元の企業が実在しているかを確認するのである。認証局より申請企業に直接電話もかかってきて、やりとりをしなくてはならない。おっちゃんのところにもかかってきたが緊張したのを覚えている。

正規に購入した際の、SSL証明書の役割は次の3つになる。

1.通信データの暗号化証明
2.WEBサーバー証明
3.データの改ざん防止

実は、SSL証明書を発行してくれる認証局には、2種類のタイプがあるのである。1つはパブリック認証局、もう一つはプライベート認証局である。

 

猫ちゃん
猫ちゃん

どうして認証局には2つのタイプがあるの?

雫おっちゃん
雫おっちゃん

ユーザーから送られてきた署名要求書に署名・認証しSSL証明書を発行する機関であり、SSL証明書を使用するサーバーが本物であることを認証局が保証することなので、企業などはちゃんとお金をかけてパブリック認証局にお願いするんだけど、社内のみの通信や個人のユーザー等はOpenSSLを使って自宅認証局を構築できるんだよ。お金は掛けられませんなんて場合自宅認証局を開局したりして便利なんだよ。それがプライベート認証局なんだよねー。

 

自宅Webサーバー構築記: 証明書の取得とSSLの導入 Kindle版

自宅Webサーバー構築記: 証明書の取得とSSLの導入 Kindle版

SSL証明書は100%安心なのか?

SSL証明書も100%暗号化し、100%サーバーが証明出来ても100%改ざんを防止できるわけではないのだ。通信しているデータ自体の秘匿はできても、完全にすべての通信を秘匿することはできないのが現在のSSL証明書の限界だそうだ。それでもSSL証明書が必要なのかというと、webページで入力する個人情報を狙う「悪意のある第三者」からクレジットカード等の個人情報(IDやパスワード)等のデータを暗号化により守りってデータの改ざんされていないことを証明するためなのだ。

今や個人情報は、簡単に流出し改ざんされることが当たり前になっている。おっちゃんの会社も何年か前、個人情報漏洩未遂事件をやらかして大変なことになったことがある。

個人情報を取り扱う方も、扱われる方も厳しいセキュアな世の中になってきているのは間違いない。

 

SSLサーバー証明書作成マニュアル CentOS 7.6対応 [プリント・レプリカ] Kindle版

SSLサーバー証明書作成マニュアル CentOS 7.6対応 [プリント・レプリカ] Kindle版

 

 

 

にほんブログ村 サラリーマン日記ブログ 駄目サラリーマンへ
にほんブログ村

にほんブログ村 通販ブログへ
にほんブログ村


Windowsランキング

レンタルサーバー

コメント

タイトルとURLをコピーしました