MENU
技術を武器に、未来をハックするエンジニアの「学び」と「旅」の記録
  1. ホーム
  2. IT
  3. やっぱりわからないSSL証明書の基本について(中盤)

やっぱりわからないSSL証明書の基本について(中盤)

IT

サーバーの構築やドメインの設定をしていると、必ずセットでついてくる「SSL証明書」。 実務上は『ボタン一つで設定完了』というケースも増えましたが、その仕組みは複雑です。

ネットワークの基本でありながら、どこか実体の掴みにくいSSL。今回は、ITエンジニアの視点から、その仕組みと役割を改めて整理してみました。

あわせて読みたい
非公開: 【初心者向け】ドメインとは?わかりやすく解説 ネットで買い物をする時やブログを見る時、当たり前のように目にしている「google.com」や「yahoo.co.jp」といった文字列。これらは「ドメイン」と呼ばれ、よく「インタ…
目次

用語解説

まずは出てくる用語の整理が必要です。証明書に関する用語は多くあるため、まずは用語を認識することから始めましょう。証明書とつく用語だけでも多くあり、それぞれが別物になります。ただ、いきなり用語の説明文を読んでも理解できないので、ここではどんな用語が出てくるか認識するだけで十分です。

  • SSL:インターネット上の通信を「暗号化」して盗聴や改ざんを防ぎ、その通信相手が間違いなくそのドメインの所有者であることを「証明」する技術のことです。
  • 認証局(CA): 証明書の発行や失効管理を行い、ウェブサイトや組織の身元を第三者の立場で保証する信頼された機関です。
  • サーバ証明書(SSL証明書): ウェブサーバーに設置し、通信の暗号化と「ドメインの所有者(または運営組織)が本物であること」を証明する電子証明書です。
    • DV(ドメイン認証): ドメインの所有権さえ確認できれば即時発行される、個人ブログや小規模サイトに最適な最も手軽な証明書です。
    • OV(企業認証): ドメインだけでなく、運営する法人が法的に実在していることを審査した上で発行される、企業のコーポレートサイト向けの証明書です。
    • EV(実在認証): 組織の物理的実在や業務実態まで厳格に審査される、銀行やECサイトなどで使われる最高レベルの信頼性を持つ証明書です。

SSL証明書について

SSL証明書とは?

SSL(Secure Sockets Layer)とは、インターネット上でのデータのやり取りを暗号化する技術です。特に個人情報や決済情報を扱う金融機関、ECサイトなどでは、情報の流出を防ぐために欠かせない仕組みとなっています。

あわせて読みたい
【図解】SSL暗号化の仕組み:公開鍵と共通鍵の役割分担を直感的に理解する ネットワークの基本中の基本である「SSL/TLS」。 エンジニアとして業務で証明書を扱ったり、AWSでACM(Certificate Manager)を操作したりする機会は多いですが、いざそ…

この技術を用いて、第三者機関である「認証局(CA)」が発行するのが「SSL/TLSサーバー証明書」です。これを導入したサイトは主に以下の2点が可能になります。

  • 通信データの暗号化: 第三者によるデータの盗聴や改ざんを防ぐ。
  • 実在性の証明: 通信相手が「正当なサイト運営者」であることを証明し、なりすましを防ぐ。

SSLサーバ証明書はなぜ必要なのか?

簡単に言うと、SSL証明書は「サイトの公開鍵」に「信頼できる機関の証明印」を押したものです。

SSLの仕組みには「公開鍵(南京錠)」を誰にでも配るというルールがありますが、ここには大きな弱点があります。それは、「なりすまし」です。

もし悪意のある誰かが「もくもく太郎」のフリをして、偽物の南京錠を配っていたらどうなるでしょうか?

あなたが「これは太郎さんのものだ」と信じて、偽の南京錠で宝箱(データ)をロックして送ってしまうと、その中身を開けられるのは、偽物の鍵を持っている犯人だけになってしまいます。

この「鍵のすり替え」を防ぐために、「この南京錠は間違いなく本物の太郎さんのものです」と保証してくれるSSL証明書が必要になるのです。

SSLサーバ証明書はどこに保存されているのか?

「SSL証明書を導入した!」といっても、実はファイルとしてサーバーの特定のディレクトリに静かに置かれているだけです。もし私が自分のブログ(例えばWordPressなど)を運用する場合、その構成によって保存場所は大きく3つのパターンに分かれます。

レンタルサーバー(SWELLなどを使用)の場合

最も一般的なケースです。エックスサーバーやConoHa WINGなどのレンタルサーバーを使っている場合、証明書ファイルはサーバー会社の管理領域に保存されます。

  • 保存場所: ユーザーが直接アクセスできない「システム領域」
  • 管理方法: 私たちがFTPやSSHで中身を見ることはほとんどありません。管理画面から「SSL有効」ボタンを押すだけで、サーバー側が自動的にファイルを配置し、設定まで完了させてくれます。

VPSやクラウド(AWS/GCP)で自前構築する場合

エンジニアが一番「場所」を意識するのがこのパターンです。NginxやApacheなどのWebサーバーソフトを自分でインストールしたなら、特定のパスにファイルを置く必要があります。

  • Linux(Ubuntu/CentOSなど)の一般的なパス:
    • 証明書本体:/etc/ssl/certs/ や /etc/letsencrypt/live/[ドメイン名]/fullchain.pem
    • 秘密鍵:/etc/ssl/private/ や /etc/letsencrypt/live/[ドメイン名]/privkey.pem
  • 管理方法: 設定ファイル(nginx.confなど)の中で、「証明書はここにあるよ」とパスを指定して読み込ませます。

クラウドの負荷分散(ALBやCloudFront)を使う場合

ブログの規模が大きくなり、AWSなどのロードバランサーを使っている場合は、サーバーの中ではなく**クラウドサービス側の管理画面(ACMなど)**に保存されます。

  • 保存場所: AWS Certificate Manager (ACM) などの証明書管理サービス内
  • 管理方法: サーバー(EC2)自体には証明書を置かず、入り口となるロードバランサーで一括管理します。運用がとても楽になる構成です。

SSLサーバー証明書はどんなデータなのか?

単なるテキストファイルに見えますが、その中には通信の暗号化に必要な情報と、そのサイトが本物であることを証明するためのメタデータが凝縮されています。もし、証明書の中身をテキストエディタで開くと、-----BEGIN CERTIFICATE----- で始まる暗号のような文字列が表示されます。

証明書のデータ拡張子とファイル形式

サーバー証明書を扱う際によく目にする拡張子には、いくつかの種類があります。これらは中身の「エンコード方式(データの書き出し方)」によって分かれています。

拡張子形式(エンコード)特徴
.crt / .pemPEM形式最も一般的です。テキストエディタで開くと読める(Base64形式)状態で、ApacheやNginxでよく使われます。
.derDER形式バイナリ形式(数値データ)です。Windows環境や特定のアプリケーションで使われることがあります。
.p12 / .pfxPKCS#12形式証明書、中間証明書、秘密鍵を一つのファイルにまとめた形式です。パスワードで保護されており、WindowsサーバーやAzureへのインポートによく使われます。
.key秘密鍵厳密には証明書ではありませんが、ペアとなる「秘密鍵」によく使われる拡張子です。

サーバー証明書に入っている主なデータ

証明書は「X.509」という国際規格に基づいて構成されており、主に以下の項目が記録されています。

  • 発行先情報(Subject): サイトのドメイン名(CN: Common Name)や運営組織名。
  • 発行者情報(Issuer): その証明書を発行した認証局(CA)の名称。
  • 公開鍵(Public Key): ユーザー(ブラウザ)がデータを暗号化するために使用する鍵。
  • 有効期間: 証明書が利用可能な「開始日」と「終了日」。
  • シリアル番号: 認証局が発行した証明書を識別するための一意の番号。
  • デジタル署名: 認証局が「このデータは正しい」と証明するために付与した電子的な印影。

認証局(CA)とは?

認証局(CA: Certificate Authority)とは、電子証明書の発行や失効管理を行う、独立した第三者機関のことです。
インターネット上でやり取りされるデータが暗号化されていても、その通信相手が「なりすまし」であっては意味がありません。認証局は、サイト運営者の実在性を厳格に審査し、デジタル署名を付与した証明書を発行することで、「このサーバーは本物である」という信頼を保証する重要な役割を担っています。

日本の主要な認証局(CA)4選

認証局名特徴・強み
GMOグローバルサイン国内シェアNo.1。 多くのレンタルサーバーで標準採用されており、最も身近なパブリック認証局です。
セコムトラストシステムズ圧倒的な「安心感」。 警備のセコムグループが運営しており、官公庁や大手企業での採用実績が豊富です。
サイバートラスト国内最長の運用実績。 日本で初めて商用認証局を開始した草分け的存在で、端末認証などの技術力に定評があります。
日本認証サービス金融・公共分野に強い。 三菱UFJ銀行などのメガバンクが出資しており、高い信頼性が求められる領域で活躍しています。

認証局が実施していること

1. 厳格な「身元審査」(バリデーション)

証明書を発行する前に、申請者が本当にそのドメインの所有者か、あるいは実在する組織かを調査します。

  • DV(ドメイン認証): 自動化されたシステムでドメインの所有権を確認します。
  • OV/EV(企業・実在認証): 登記事項証明書の確認、電話による在籍確認、さらには第三者データベースとの照合など、人の手による厳格な審査を行います。

2. 「失効管理」とステータス公開

もしサーバーの秘密鍵が盗まれたり、組織が解散したりした場合、その証明書を「無効」にする必要があります。認証局は以下の仕組みを運用し、世界中のブラウザに「この証明書はもう使えません」と伝えています。

  • CRL(証明書失効リスト): 無効になった証明書のシリアル番号リストを公開・更新します。
  • OCSP: ブラウザからの「この証明書、今使っても大丈夫?」という問い合わせに対し、リアルタイムで有効性を回答するシステムを24時間365日稼働させています。

3. 信頼性を保つための「外部監査」

認証局自身が不正をしたり、セキュリティが甘かったりしては意味がありません。そのため、彼らは毎年、公認会計士などによる**「WebTrust監査」**という非常に厳しい国際的な監査を受けています。

  • 物理的なデータセンターのセキュリティ、スタッフの教育、鍵の管理手順などがチェックされます。
  • この監査に合格し続けることで初めて、Google ChromeやSafariなどのブラウザに「信頼できる認証局」として認められ続けることができます。

4. CPS(認証業務運用規程)の策定と公開

「自分たちはどのような基準で審査し、どのような手順で証明書を発行・管理するのか」というルールブック(CPS)を公開しています。これはウェブサイトの利用規約のようなもので、誰でも閲覧できるようになっており、運用の透明性を確保しています。

審査も受けていないのになぜSSL証明書を使えるのか?

審査も受けていないのにSSL証明書が使えるというのは、一見するとセキュリティのルールに反しているように感じて不安になりますよね。

実はこれには、「審査の自動化」「証明書の種類」という2つの大きな理由があります。

1. 審査がないのではなく「一瞬で終わっている」から

現代の多くのSSL証明書(特に無料のLet’s Encryptなど)は、人間による書類審査ではなく、システムによる自動審査を採用しています。

  • ドメイン認証(DV)の仕組み: 「そのドメイン(URL)を本当に管理しているか」だけを機械的に確認します。指定された場所にファイルを置く、あるいはDNS設定を変更するといった作業が完了した瞬間に、システムが「所有者である」と判断し、即座に発行されます。
  • スピードのメリット: かつては数日かかっていた発行手続きが、数秒〜数分で完了するため、「審査を受けていない」ように錯覚してしまいます。

2. 「実在証明」までは行われていないという落とし穴

SSL証明書には、審査の厳格さに応じて3つのレベルがあります。あなたが「審査がない」と感じたのは、もっとも簡易的なレベルのものです。

証明書の種類審査の内容信頼性のレベル
ドメイン認証 (DV)ドメインの所有権のみ(自動審査)(通信の暗号化のみ)
企業実在認証 (OV)運営組織の実在確認(書類・電話審査)(企業の存在を証明)
EV認証厳格な法的実在性の確認(物理的所在など)(最高レベルの信頼性)

3. なぜ「誰でも使える」仕組みになっているのか?

「悪意のある人が使ったらどうするんだ」という懸念はもっともですが、現在のインターネットでは「内容の信頼性」よりも「通信の暗号化」を優先する流れになっています。

  • 全ページHTTPS化の推奨: Googleをはじめとする業界全体が、情報の盗聴を防ぐために「どんなサイトでも暗号化すべき」と推奨しています。
  • 役割の分離: SSLの主な役割は「通信を暗号化して盗聴を防ぐこと」です。「そのサイトが詐欺サイトではないこと」を保証するものではないため、審査を簡略化して普及を優先させているのです。

4. 自前で発行する「自己署名証明書(オレオレ証明書)」

もし、外部の認証局を介さず、自分のサーバーで設定しただけで使えているのであれば、それは「自己署名証明書」かもしれません。

  • 特徴: 自分で自分の身元を保証する形式です。
  • リスク: 審査を全く受けていないため、ブラウザでアクセスすると「この接続はプライベートではありません」という警告が表示されます。主に開発環境などで使われる手法です。

詐欺サイトもSSL化できてしまうのか?

詐欺サイトが簡単にSSL化できてしまう理由

かつてSSL証明書を取得するには、企業の登記簿謄本や電話確認など、厳しい審査と数万円の費用が必要でした。しかし現在は、「ドメイン認証(DV)」という仕組みの普及により、状況が一変しています。

  • 誰でも・匿名で取得できる: 氏名や住所の確認を必要とせず、メールアドレス一つで発行できる無料の証明書(Let’s Encryptなど)が一般的になりました。
  • 機械的な自動発行: プログラムが「そのURLを操作できるか」だけを数秒で確認して発行するため、サイトの内容が詐欺かどうかを人間がチェックするプロセスは存在しません。
  • 「暗号化」と「信頼性」の切り分け: SSLの本来の目的は「通信を盗聴されないこと」です。詐欺師にとっても、入力されたパスワードを確実に自分の元へ届けるために、通信を暗号化するメリットがあるのです。

鍵マークが「安全の証」ではなくなった背景

以前は、ブラウザの鍵マークは「このサイトは身元が確かな組織が運営している」という信頼の象徴でした。しかし、Googleなどの検索エンジンが「すべてのサイトのSSL化」を強く推奨した結果、以下のような逆転現象が起きています。

  • 「SSL化していない=怪しい」という視覚的警告: SSL化していないサイトには「保護されていない通信」と警告が出るため、詐欺師はユーザーを油断させるために、あえてSSL化して「警告を消す」ようになりました。
  • 鍵マークの形骸化: 現在の主要なブラウザでは、鍵マークは単に「通信が暗号化されている」ことだけを示しており、そのサイトの運営者が善人か悪人かは判別してくれません。

騙されないための新しいチェックポイント

「鍵マークがあるから大丈夫」と考えるのは、現代のネット環境では危険です。詐欺サイトを見抜くには、以下の点に注目する必要があります。

  1. URL(ドメイン名)の再確認: 鍵マークよりも、ドメイン名が本物(例:rakuten.co.jp)と一文字でも違わないかを確認する方が重要です。
  2. 証明書の詳細を見る: 鍵マークをクリックして「証明書」を確認した際、発行先がドメイン名だけ(DV)なのか、企業名(OV/EV)まで記載されているかを確認します。大手金融機関などは、今でも審査の厳しい証明書を使っています。
  3. 日本語やフォントの違和感: 技術的にSSL化できても、サイト内の不自然な日本語や、公式にはない過度な不安を煽る表現(「アカウントが凍結されました」など)は隠せません。
IT
目次