Webでのセキュリティの仕組みを今さら知ったので書いておく
SSL/TLSとは?
SSL=Secure Sockets Layer
TLS=Transport Layer Security
SSLとはインターネット上でデータを暗号化して安全に送受信する仕組み
TLSはSSLをもとに標準化されたもの
つまりどちらも同じような仕組み
通常インターネットでは暗号化されずにデータが送信されてしまうので通信途中で傍受されると情報が第3者に漏れてしまう。さらに、なりすましに気付かず通信するとデータがなりすましの相手に取得されてしまう。これがクレジットカードの情報とかだったら大騒ぎ。
SSL/TLSの役割
- 暗号化通信
共通鍵、公開鍵暗号方式の両方を使って第3者からの盗聴を防ぐ。 - サービス提供者の確認
SSL証明書を利用するためサービス提供者が誰なのかを登録する必要があるので
利用者はサービス提供元を確認して安心できる。
とりあえず大きくわけて3つくらいの重要な役目を担っている。
- なりすまし
- 盗聴 を防ぐ!
- 情報改ざん
SSL/TLS(証明書)の種類
種類は3つに分かれているらしい。
- ドメイン認証SSL(Domain Validation)
- 企業実在認証SSL(Organization Validation)
- EV SSL(Extended Validation)
表にしたので詳しく見ていくと…
ドメイン認証SSL | 企業実在認証SSL | EV SSL | |
ドメイン名使用権の確認 | ✅ | ✅ | ✅ |
組織の法的実在の確認 | ✅ | ✅ | |
組織の物理的実在の確認 | ✅ | ||
組織の運営の確認 | ✅ | ||
承認者・署名者の確認 | ✅ | ||
特徴 | 安価、スピード発行 | 最もポピュラー | アドレスバーが緑 |
金額(1年契約) | 30,000円~ | 50,000円~ | 110,000円~ |
SSL導入について
SSL証明書を導入しているかどうかは一目でわかる。ブラウザのアドレスバーを見ると下図のような表記が出ているか出ていないか。
色々サイトを回ってみた。
1.Apple
ちゃんとEV導入してる
2.Microsoft
MicrosoftはOVみたい
3.Amazon
AmazonはショッピングサイトなのにOV…?
購入画面になるとEVに代わるのかな?それともなんか特製のセキュリティを隠し持っているか
4.PlayStation4
保護されてませ~ん
入力するもの何もないからいいやってことなのかな?
SSL/TLSの選び方、用途
ここではどういう場面だと何のSSLを使えば良いのかをまとめていく
-
- ドメイン認証SSL(Domain Validation)
・特定のページに導入
ランディングページやキャンペーンなどのフォームが含まれていない限定的なページを暗号化する。・組織内限定利用各サーバー
組織内メンバー限定のサイト メール・FTPサーバーなど用途:低コストですぐにセキュリティを強化できる。
データの送受信やアーカイブを安全に行う。
- ドメイン認証SSL(Domain Validation)
-
- 企業実在認証SSL(Organization Validation)
・企業や各種団体・機関の公式サイト
お問い合わせ、各種手続き、資料請求などの各種フォーム
株主向けIRサイト、活動報告やニュースの掲載・SNS・会員サイト
ログイン画面、新規会員獲得用途:運営組織名と住所を証明書情報に含めてユーザに安全性をアピールできる
個人情報の送受信を暗号化し、公式サイトのセキュリティ強化
- 企業実在認証SSL(Organization Validation)
-
- EV SSL(Extended Validation)
・オンラインショップ
商品受発注、カード決済、お問い合わせ、メールマガジン登録・ネット銀行、ネット証券
フィッシング詐欺対策、口座開設申し込み画面、取引画面用途:決済情報も含めた個人情報の送受信を暗号化
ブラウザのアドレスバーを緑色にして運営団体名を表示させ、一目で安全性をアピールできる
- EV SSL(Extended Validation)
所感
よく思い返してみればアドレスバーの鍵マーク見たことあったな…って感じ
この知識を持っていれば、EVにしてる企業のサイトを見ると「すげえ!」と思うけどユーザーのからしたら知らない人のほうが圧倒的に多そう….
情報漏洩でニュースになった企業とかはSSLをちゃんと導入してなかったのが原因なのかな…?
全部が全部そうじゃないとは思うけどセキュリティはやっぱりお金かけないとダメなんだな
“SSL/TLSの世界” への1件のフィードバック
TSLじゃないよ。TLSだよ。