証明書用語辞典(2)


EV (extended validation) SSL
実在認証
携帯への対応率の相違
SGC SSL
ワイルドカードSSL
コードサイニング証明書
FQDN
CSR
ライセンス

矢印 EV (extended validation) SSL
証明書は、インターネット通信の暗号化の他に、ウェブサイトが想定している相手か(YahooならばYahooか、成りすましでパスワードを盗もうとしていないか)を保証する役割(実在認証)があります。このために、ウェブサイトの所有者は、 SSL証明書取得の際に本人確認の審査を受けます。EV証明書では、この審査が各種証明書の中で最も厳しく行われます。これは、なし崩し的にSSL証明書発行の審査がゆるくなってきた反省から生まれています。Internet Explorer 7.0を使用して、EV SSL証明書で保護されたウェブサイトにアクセスすると、アドレスバーが緑色に変わり、アドレスバーの横には、SSL証明書に記載されている組織名、およびその証明書を発行した認証局名が表示されます。Joe’s SSL市場では、シマンテック、ジオトラスト、コモドのEV SSL発行実績があります。
▲トップページへ戻る

矢印 実在認証
EVでなくとも、SSL証明書発行の際には申請者の確認のために戸籍謄本の提出を求めたり、電話で確認したりします。また、ドメイン認証といって、ドメインの whois情報と申請者の情報が一致しているかのみで審査を行うSSL証明書もありま す。ジオトラストのクイックSSL プレミアムやグローバルサインのクイック認証SSLなどがそれに該当します。この場合、悪意のある人がwhois情報をYahooに書き換え、「俺は Yahooだ」といえばYahooの偽のSSL証明書の審査が通ってしまうということです。その意味で、ドメイン認証のみの証明書かそれ以外かという区別をしています。また、openSSLで自分でSSL証明書を開発することもできます。しかし、webtrustという団体の監査を受けないと、PCや携帯のブラウザで利用してもらえません。いわゆるオレオレ詐欺のような犯罪を防止する意味があります。
▲トップページへ戻る

矢印 携帯への対応率の相違

ブラウザの中でSSL証明書のルート認証局を登録しておかないと、そのSSL証明書は機能しません。Joe’s SSL市場で取り扱いのすべての証明書はPCのブラウザでは問題なく機能します。しかし、携帯電話のブラウザは特殊で、国によって異なります。シマンテックのように比較的歴史が古く、PCのどのブラウザにも必ず入っているものは携帯電話のブラウザにもほぼ例外なく含まれています。また、ジオトラストも歴史が古いので、90%以上の携帯ブラウザに対応しています。ブランド名が同じでも、コモドの証明書はコモドジャパンから発行しているUTNというルート証明書のものと、Joe’s SSL市場やinstantssl.co.jpで発行しているエントラスト(entrust)がルートのものとは、ルート認証局の相違により携帯電話への対応率が異なります。エントラストがルートになっているものは、ソフトバンクとauにはほぼ対応しています。docomoは、2008年3月以降の携帯機種に登録されており、およそ80%程度の対応率です。また、グローバルサインそのものは歴史が長いSSL証明書ですが、日本で再出発した のが2007年7月ですのでそれ以降に発売された携帯ブラウザに登録されています。したがって、携帯ブラウザへの対応率は、これからというところです。
▲トップページへ戻る

矢印 SGC SSL
SGC(ServerGatedCryptography) といって、40bit、56bitの暗号化強度のウェブブラウザを利用しているときでも、強制的に128bitまで暗号化強度を引き上げる機能をもったSSL証明書があります。他社では、シマンテックのグローバル・サーバ ID、グローバルサインの全製品などが該当します。 EV SSL、ワイルドカードSSLなどとは独立の概念です。
▲トップページへ戻る

矢印 ワイルドカードSSL
InstantSSL, ProSSL, PremiumSSL, Intranetの各SSL証明書は、1FQDNに対して発行されます。すなわち、
1 “http://www.ドメイン名”
2 “http://ドメイン名”
3 “http://サブドメイン名.ドメイン名”
のいずれか1個の形式に対して、3.の形式については、1サブドメインに対してしか発行されません。 ワイルドカードSSLは、1ドメインの任意のFQDNの証明書として機能します。携帯電話での利用ができませんのであらかじめご了承下さい。
▲トップページへ戻る

矢印 コードサイニング証明書
ソフトウェアに対する証明書です。 コモドおよび配布元によってデジタル署名された証明書を介すことで、ソフトウェア配布元の信頼性と、コードの安全性を保証することができます。SAAS(Software as a Service)のようなサービス、ダウンロード販売、オンラインアップデートなど、昨今はインターネットを使用してソフトウェアやデータ等が配布する機会が大変増えました。しかし、その提供者が果して実在する正規の提供者であるか、また、そのプログラムやデータが正しいものであるかどうかを、利用者が確認することは非常に困難です。コードサイニング証明書は、このような問題を解決する一番簡単で安全な方法です。導入することで、これらの安全性を保証する証明書をファイルに自動的に添付し、正しくない場合には注意を促すことができます。
▲トップページへ戻る

矢印 FQDN
FQDNとは、インターネットやイントラネットなどのTCP/IPネットワーク上で、ドメイン名・サブドメイン名・ホスト名を省略せずにすべて指定した記述形式のことです。例えば、「www.joes-ssl.com」はFQDNとなりますが、「joes-ssl.com」はホスト名が省略されているのでFQDNではありません。
▲トップページへ戻る

矢印 CSR
CSR (Certificate Signing Request)とは、証明書を発行するための署名要求とよばれるファイルです。認証局は、提出されたCSRを元に認証機関としての署名をしてSSL証明書を発行します。 CSRは公開鍵の情報以外に、作成時に指定した組織名や組織の所在地などの情報が含まれます。 SSL証明書の申請前に、SSL証明書を導入するのウェブサーバーでCSRと秘密鍵を作成してください。

1. CSR発行時に指定する組織名などは、証明書を導入するサイトの運営者の情報としてください。証明書の申請情報とCSRが不一致の場合、再申請が必要になる場合があります。
2.認証局から発行されたSSL証明書は、CSRを作成する際に使用した秘密鍵とだけペアを構成することが出来ます。別の秘密キーから全く同じ組織名や組織の所在地などの情報でCSRを作成しても、証明書を利用することはできません。
3.CSRを作成後、秘密鍵をサーバ外の別のメディアに保存し、安全な場所に保管してください。秘密鍵がないと、証明書の再取得が必要です。
4.CSRを発行する際は、スペルミスなどに気をつけてください。証明書発行後に変更することはできません。
5.同じ情報・同じ手順でCSRを再度作成しても、同一のCSRは作成できません。

矢印 ライセンス
基本的に証明書は1つのコモンネームに対して1枚必要となります。また、同じコモンネームの証明書をロードバランサなどで複数台のサーバーで運用する場合は、サーバーごとにライセンスを契約する必要がありますので、お申し込み時にサーバー台数分のライセンスをご選択ください。(ライセンスの数証明書をご購入いただくことになりますので、必要費用は証明書単価×ライセンス数となります)
なお、セコム、グローバルサインなど特定のブランドでは1ライセンスのご契約で同じコモンネームの証明書を複数台のサーバで利用することが可能であり、複数ライセンスお申し込みいただく必要がございません。

▲トップページへ戻る