SSLサーバ証明書を取得するためのチェックポイント

【この記事の所要時間 : 約 7 分

ssl_hikaku.gif
SSLサーバ証明書の「値段」と「品質」というサイトがある。とても参考になるいいサイトだと思う。
サーバ証明書とは、サーバの身元を第三者である認証局(CA:Certificate Authority)が保証することを示すデータのことであるので、あるサーバ証明書を信頼するということは、つまり、第三者である認証局を信頼するということであるが、なぜその認証局が信頼できるのだろうか?

あるルート認証局を信頼できるかどうかには「WebTrust for CA」という明確な基準があるのだ。
WebTrust for CAとは、AICPA(American Institute of Certified Public Accountants:米国公認会計士協会)およびCICA(Canadian Institute of Chartered Accountants:カナダ勅許会計士協会)が定めた認証局用の会計監査基準である。たとえばマイクロソフトは、「Microsoft ルート証明書プログラム」において、WebTrust for CAのような監査基準に合致するかどうかなどを審査してルート認証局の証明書をWebブラウザに同梱するかどうかを決めているとしている。つまり、あるルート認証局が信頼できるかどうかは、米国とカナダの会計士協会の定めた基準に行き着くわけだ。

サーバ証明書の信頼について突き詰めると、米国とカナダの会計士協会の定めた基準に行き着く。
これは知らなかった。現状、ルート証明書の系統は、「セコムパスポートfor Web SR」を除くと以下にあるようにたった7系統に集約されている。

サーバ証明書の発行サービスは多いが、ルート証明書までたどるとベリサイン、GTE Cybertrust、ジオトラスト、RSA、セコムトラストシステムズ、Entrust、日本認証サービス(JCSI)の7系統に集約される。

SSLサーバ証明書の「品質」の一つとして暗号強度がある。
これは、より大きいビット長の暗号鍵を使っている方が暗号強度が高いといえる。
今回比較しているサーバ証明書サービスはすべて128ビットの暗号鍵長に対応しているが、より強力な256ビットの暗号鍵にも対応しているサービスもある。
だが、暗号強度が高ければそれでいいのか?といえばそうでもない。
なぜなら、SSLはサーバとクライアント間の通信を暗号化する仕組みなので、サーバ側だけでなく、クライアント側(つまりブラウザですね。)もその暗号強度に対応している必要があるからである。
いくらサーバ側で256ビットに対応していても、クライアント側が128ビットまでしか対応していなければ、サーバ側を256ビットにしても意味がない。

一般的に、SSLによる暗号化通信では40~128ビットの長さの暗号鍵が使われている。しかし、SSLはサーバとクライアント間の通信を暗号化する仕組みであり、サーバとクライアントの双方が対応していなければならない。オープンソースのWebサーバであるApacheは40~256ビットの暗号鍵に対応しているが、マイクロソフトのWebサーバであるIISは40~128ビットまでの暗号鍵にしか対応していない。またWebブラウザ側でも、Opera とFirefoxは40~256ビットまでの暗号鍵に対応しているが、Internet Explorer 6.0(IE)は40~128ビットまでにしか対応していない。つまり、ApacheとIEの組み合わせでは、強度の低いIEの方にあわせて、128ビットの暗号鍵が使われることになる。

SSLサーバ証明書の「品質」の差として対応ブラウザがある。
特に旧式のブラウザまで対応する必要があるなら選択肢となるサーバ証明書サービスは絞られてくる。

ルート認証局の証明書は、OSやWebブラウザにあらかじめ組み込まれている。
今回比較対象とする8サービスは、IE、Opera、FirefoxというPC用のWebブラウザに発行元を証明するルート認証局の証明書が組み込まれているものばかりだ。したがって、どのサービスとWebブラウザを組み合わせても通信内容は保護される。
ただし、Mac OS X用のWebブラウザであるSafariの旧バージョンなど、Macintosh用のWebブラウザの一部は対応していない場合がある。Webサービスで暗号化通信機能を提供する場合は、Windows用のWebブラウザだけではなく、Macintosh用の旧式Webブラウザへの対応がどこまで必要かによってサービスを選ぶとよいだろう。

SSLサーバ証明書の「品質」の差として携帯電話対応もある。
サイトが携帯電話向けのコンテンツをSSLで提供するならば、携帯電話に対応しているサーバ証明書サービスをえらばなければならないが、逆に携帯電話向けコンテンツがないなら、その機能をカットして金額を安くしているサービスを選ぶという選択肢もありえる。

「携帯電話はメモリ容量がPCよりも少ないため、あらかじめインストールされるルート証明書は制限される傾向がある」という。NTTドコモなどのキャリア側は最低限インストールすべきルート認証局をガイドライン化しているが、すべてのルート認証局の証明書が組み込まれているわけではない。つまり、携帯電話によっては、あらかじめ組み込まれたルート認証局の証明書ではサーバ証明書の正しさを確認できない場合があるのだ。したがって、サーバ証明書を選択するにあたっては、単に料金の高低だけではなく、Webサイトが携帯電話向けのコンテンツをSSLで提供するか、という観点も重要だ。

SSLサーバ証明書の「品質」の根本ともいえるのが証明の程度である。
本人確認のみで実在証明のないものから、登記謄本と電話による本人・意思確認といった実在証明のあるものまで程度の違いにより数種類ある。このあたりの実在証明に関わる手間がサーバ証明書の価格に反映され、取得時間にも影響している。
簡単な本人確認で取れるサーバ証明書は証明の程度は弱いが、数分でとれ、かつ値段も安いといった感じである。
これ以外に、暗号化が破られてユーザーに損害が生じた場合の補償額の違いもあるが、よっぽどのサービス以外はこれは無視していい要素と思う。
ということでサーバ証明書を選ぶ上でのチェックポイントは、

1.サイトの対応ブラウザがサーバ証明書の対応ブラウザに含まれているか?
2.サイトが携帯電話向けのコンテンツをSSLで提供するのか?
3.サイトが求める証明程度がどのようなものなのか?
4.サーバ証明書の無料再発行サービスはどの程度必要か?(期間は?)
5.サーバ証明書が必要な有効期間は?(半年/1年/2年/5年など)
6.サーバ証明書の発行にかかる日数はどのくらい許容できるのか?
7.サーバ証明書の価格

上記の7項目くらいかな。
仕事では、セコムトラストシステムズの「セコムパスポートfor Web」をよく利用している。
セコムの代理店登録をしてあるので、クライアント認証用のUSBキーをもらっている。
これを使って申請すると多少発行が早くなる。
また、対象企業が東京商工リサーチに登録されていると、登記謄本を郵送する必要がないので、審査が早くなったりする。
あとは、ベリサインかな。ベリサインはクライアントから指定される場合に多い。

スポンサーリンク
レクタングル(大)広告
  • このエントリーをはてなブックマークに追加
スポンサーリンク
レクタングル(大)広告

コメントをどうぞ

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です