SSLサーバー証明書はセキュア通信最後の砦。衝撃の事実がここに!

SSLサーバー証明書はセキュア通信最後の砦。衝撃の事実がここに!

この記事は約6分で読めます。
スポンサーリンク

Webサイト常時SSL対応ってなに?という前にSSLのことを軽く説明しますね。

image

Microsoft Windows Server 2008 PKI & 認証セキュリティ大全 Kindle版

Microsoft Windows Server 2008 PKI & 認証セキュリティ大全 Kindle版

わかりやすく言うとWebサイトと見ているユーザのデータ(フォームへの名前や住所などの入力データ)を盗まれても解読しにくい、暗号化するための仕組みと言えばわかりやすいでしょうか。Google側が2018年8月からはWebブラウザのChrome(バージョン68以降)で、HTTPSが提供されないサイトでは「保護されていない通信」と表示するまでは、せいぜい銀行やカード会社などの必要最低限のweb入力フォームなどに使われていた程度でした。実は、「悪意のある第三者」が通信の中身を盗み見るのは朝飯前で、悪用することが簡単に出来てしまいます。「悪意のある第三者」でなくても会社のシステム管理者は普通に社員のwebメールの内容は全て見ることができます。なので会社で無料メールに送ったり、怪しいメールを開いたりもすべてお見通しなので、会社のメーラーを私用で使うと後で面倒なことになるので業務メールと私用メールはきちんと分けて使わないといけません。それにちょっと知識があれば非SSLの公共Wi-Fiを盗み見可能です。

「http」と「https」ってなんだろう。

それぞれ、「HyperText Transfer Protocol(はいぱーてすきと とらんすふぁー ぷろとこる)」、「Hyper Text Transfer Protocol Secure(はいぱーてすきと とらんすふぁー ぷろとこる せきゅあ)」の略です。偉い人が作った通信の手段ですね。そのおかげでこうやってこのページも見ることが出来ます。

 

猫ちゃん
猫ちゃん

はいぱーてすきと とらんすふぁー ぷろとこる せきゅあー。

うーん。わたし舌を噛みそう。

雫おっちゃん
管理人(私)

猫舌をね。(笑)

 

SSL化とは、インターネット通信での暗号化のこと。

そもそも、インターネットの非SSL通信(http)は暗号化しない限りただのテキストデータとしてやり取りされます。ご存じでしたか。どういうことかというと、わかりやすくメールで例えると、昔文字化けして読めないメールが届いたことはないでしょうか。その届いた文字化けメールが「暗号化処理」のイメージです。たとえメールが漏れてしまっても、読むことが難しいのです。その文字化けメールをエンコード処理をすると(JISコード等に)普通の文字になって読める様になります。これが暗号化の復元のイメージになります。

SSL化して暗号化すれば大丈夫?

SSL化しても理論上は解読可能なのですが、膨大な時間がかかるので現実的ではありません。この現実的ではないことを「悪意のある第三者」はわかっているので、フィッシング詐欺に走ります。いわゆる「なりすまし」です。とあるオンラインショップに送るユーザーのカード情報を盗み読みたいとした場合、ユーザーのカード情報を盗み取る偽のサーバを立ち上げ(一種のプロクシーサーバー)、ユーザーと本物のSSLサイトとの通信をそっくり中継する非常に巧妙な仕組みになっていて、ユーザーには、本物と見分けがつかないのです。そのページに表示されるコンテンツは本当に、バナーやフォント、おまけに背景や広告迄、本物のSSLサイトの画面構成になっているのです。
そうしてユーザーをweb広告やメールなどで偽のサーバに誘導します。ユーザーは偽物だとは考えるはずもなく、用意されたSSL通信で偽サーバに接続し、それとの間で「本物の暗号化通信」を行うのです。ユーザーもSSLで通信されていれば疑う余地もありません。偽のサーバはユーザーとの通信内容(IDとパスワード)を復号し盗まれてしまうのです。

偽物との見分け方

簡単に言うとwebサーバーの持ち主(サイト管理者)が認証局によりドメインの持ち主(webサーバーの持ち主)であると保証されるのです。それが各種SSLサーバー証明書なのです。

 

猫ちゃん
猫ちゃん

サーバーより鯖が食べたいわ。

雫おっちゃん
管理人(私)

ち、ちゃんと、サーバーの話を聞いてね…。

そもそもこのSSL証明書が必要な理由はお分かりでしょうか?
企業では、このSSL証明書(デジタル証明書)という目に見えない実体のないものに20万円、30万円と高額なのに支払っています。それは、「悪意のある第三者」が とある某有名どころの認証局にSSL証明書を発行しようとして申請しても、よほど不正な手段を取らない限り発行は拒否されるのです。不正な手段でSSL証明書を発行させることを防ぐために、認証局は登記事項証明書や印鑑登録証明書を用いて申請元の企業が実在しているかを確認するのです。認証局より申請企業に直接電話もかかってきて、やりとりをしなくてはなりません。管理人の私の会社にもかかってきて緊張したのを覚えています。

正規に購入した際の、SSL証明書の役割は次の3つになる。

1.通信データの暗号化証明
2.WEBサーバー証明
3.データの改ざん防止

実は、SSL証明書を発行してくれる認証局には、2種類のタイプがあるのであります。1つはパブリック認証局、もう一つはプライベート認証局です。

 

猫ちゃん
猫ちゃん

どうして認証局には2つのタイプがあるの?

雫おっちゃん
管理人(私)

ユーザーから送られてきた署名要求書に署名・認証しSSL証明書を発行する機関であり、SSL証明書を使用するサーバーが本物であることを認証局が保証することなので、企業などはちゃんとお金をかけてパブリック認証局にお願いするんだけど、社内のみの通信や個人のユーザー等はOpenSSLを使って自宅認証局を構築できるんだよ。お金は掛けられませんなんて場合自宅認証局を開局したりして便利なんだよ。それがプライベート認証局なんだよねー。

 

自宅Webサーバー構築記: 証明書の取得とSSLの導入 Kindle版

自宅Webサーバー構築記: 証明書の取得とSSLの導入 Kindle版

SSL証明書は100%安心なのか?

SSL証明書も100%暗号化し、100%サーバーが証明出来ても100%改ざんを防止できるわけではありません。通信しているデータ自体の秘匿はできても、完全にすべての通信を秘匿することはできないのが現在のSSL証明書の限界だそうです。それでもSSL証明書が必要なのかというと、webページで入力する個人情報を狙う「悪意のある第三者」からクレジットカード等の個人情報(IDやパスワード)等のデータを暗号化により守りってデータの改ざんされていないことを証明するためなのです。

今や個人情報は、簡単に流出し改ざんされることが当たり前になっています。管理人の勤めている会社も何年か前、個人情報漏洩未遂事件をやらかして大変なことになったことがあるのです。

個人情報を取り扱う方も、扱われる方も厳しいセキュアな世の中になってきているのは間違いありません。

 

SSLサーバー証明書作成マニュアル CentOS 7.6対応 [プリント・レプリカ] Kindle版

SSLサーバー証明書作成マニュアル CentOS 7.6対応 [プリント・レプリカ] Kindle版

 

 

レンタルサーバー

コメント

タイトルとURLをコピーしました