図解サイバー攻撃 [Cyber Attack dot Net]

図解サイバー攻撃。サイバー攻撃・サイバーテロや情報漏洩などのサイバーセキュリティインシデントについて詳しくイラストで解説。

図解サイバーセキュリティ用語

SSLサーバ証明書とは 図解サイバーセキュリティ用語

投稿日:

SSLサーバ証明書は、クライアントとサーバ間で行う暗号化通信に必要な鍵やWebサイトの所有者情報などを含む電子証明書です。SSLサーバ証明書を利用することによって、以下の2つの目的を達成します。

  • Webサイトの所有者の証明
  • SSL暗号化通信
Webサイトの所有者の証明

認証局はSSLサーバ証明書を発行する際にそのWebサイトの所有者が実在して本物であるかを確認します。これによって、SSLサーバ証明書はWebサイトがなりすましではない本物のWebサイトである事を証明してくれます。

SSL暗号化通信

クライアントとサーバ間で暗号化通信を行う事で、第三者による通信の盗聴を防ぐ事が可能になります。また、第三者による通信の改ざんも防ぐ事が可能になります。

SSLサーバ証明書の仕組み

クライアントがSSLサーバ証明書を利用してWebサーバとSSL通信を開始するまでのステップは次の通りです。

① Webサイトの所有者の確認

② 暗号化通信に必要な共通鍵を安全に送信

③ 共通鍵を利用した暗号化通信を開始

SSLサーバ証明書の仕組み

クライアントがWebサーバに接続要求をすると、WebサーバはWebサーバの公開鍵を含むサーバ証明書をクライアントに送付します。クライアントはWebサーバのサーバ証明書をルート証明書で検証し問題がなればWebサーバの公開鍵を取り出します(①)。

次に、クライアントは共通鍵を作成します。そしてその共通鍵をWebサーバの公開鍵で暗号化して、Webサーバに送信します。Webサーバは暗号化された共通鍵をWebサーバの秘密鍵で復号して共通鍵を取り出します(②)。

そうすると、クライアントもWebサーバも共通鍵を持つことができ、この共通鍵を利用してお互いにデータを暗号化・復号を行う事で、通信を暗号化します(③)。

SSLサーバ証明書の種類

SSLサーバ証明書には3つの種類があります。ドメイン認証(Domain Validation)、企業認証(Organization Validation)そしてEV認証(Extended Validation)です。どの証明書を選択するかは、そのWebサイトの規模やセキュリティ要件によります。例えば、個人のWebサイトの場合であればほとんどがドメイン認証のSSLサーバ証明書でよいですが、クレジットカードを取り扱うWebサイトであればEV認証のSSLサーバ証明書を利用するのが一般的です。

種類 説明 信頼度 コスト
ドメイン認証(DV) SSLサーバ証明書の所有者がドメインの使用権を保有していることを認証します。たとえば、このWebサイトで利用しているRapidSSLの証明書はcyber-attack.netというドメインを所有している事を認証してくれています。ドメイン認証用のSSLサーバ証明書は費用が安いですが、ドメイン毎にSSLサーバ証明書を用意する必要があります。
企業認証(OV) SSLサーバ証明書の所有者がドメインの使用権を所有していることと、Webサイトを運営している企業が法的に実在していることを証明してくれます。ドメイン認証(DV)と比べて信頼性が高いですが、コストも高くなります。
EV認証(EV) 企業認証に加えて、Webサイトを運営している企業が物理的に実在しているかの確認を行います。また、EV認証のSSLサーバ証明書の場合、Internet Explorer、Firefox、Google Chrome、Safariなどの主要なWebブラウザの証明書のバーが緑色で表示されますので、安全性をアピールすることができます。

広告

広告

-図解サイバーセキュリティ用語

関連記事

SYN Flood:TCP接続の3ウェイハンドシェークのSYNパケットを偽装

SYN FloodはDoS攻撃の1つです。この攻撃はTCP接続の3ウェイハンドシェークの最初のSYNパケットを偽装することで始まります。どのように偽装するかというと、SYNパケットの送信元IPを攻撃者 …

サイバーインテリジェンス(Cyber Intelligence) 図解サイバーセキュリティ用語

インテリジェンスを日本語で訳すのは難しいですが、諜報活動から得られる情報と訳す事ができます。ただしこれは戦争や政治の世界で使われる意味で、サイバーセキュリティでのインテリジェンスの意味は少し違ってきま …

柳条湖事件 9月18日に中国からサイバー攻撃を受ける理由

毎年9月18日の1週間前になると、様々な機関から「9月18日前後に中国からサイバー攻撃がある可能性がありますので注意してください」という通達がありますよね。実際に9月18日に中国からのサイバー攻撃によ …

情報セキュリティのCIAとは?

CIAというと、米国の諜報機関である中央情報局(Central Intelligence Agency)や監査系の資格であるCertified Internal Auditorの略と思う方が多いと思い …

バックドア(backdoor)とは? 図解サイバーセキュリティ用語

バックドア(backdoor)は日本語では「裏口」という意味がありますが、セキュリティ用語では不正に仕込まれたトロイの木馬などのマルウェアの事で、C2サーバ経由で外部の攻撃者のコマンドを受け入れてパソ …