サーバーの安全基準

皆さんはSSLサーバー証明書というものをご存知でしょうか？
ITについて詳しい人であれば説明できる人が多いかと思いますが、そうでない人にとっては聞いたことがない、というようなものでもあるでしょう。
ここではまずSSLサーバー証明書というのが何者であるのか、ということを簡単に紹介します。

SSLサーバー証明書というのは、要するにサーバーの安全性を示す基準のようなものだと考えていただければ良いでしょう。
認証レベルが高いものほど安全性が高く、信用できるものであると証明してくれるわけです。
認証の証明書の呼び方もこの安全性のレベルによって異なっています。

レベルは3つ二分割されており、DV,OV,EVと略されます。
DVというのはDomainValidation,OVというのはOrganizationValidation,EVというのはExtendedValidationの略称です。
DVが最もランクが低く、EVが最も高いものとなっています。
では、具体的にはどのような内容の違いがあるのでしょうか？

DVは証明書が使われるドメインについて、使用権利があることだけを示している証明書です。
ここにおいてセキュリティ強度による決まりというものはなく、認証レベル、運営者の審査も関係はありません。

OVはドメイン使用権の認証だけではなく、サーバー運営組織の存在を証明するものです。
さらにEVではこの証明が厳格化されており、実在の証明まで踏み込んだ内容となっています。
こういったSSLサーバー証明書は発行会社が存在しており、そこから利用することになります。

下のサイトの会社はSSLサーバー証明書の発行を行っている会社の1つです。
その他にも、端末認証デバイスIDの登録や、ネットワーク上の脆弱性を診断してアドバイスをしてくれるサービスなどを展開しています。
IT業務を行っていく上で、セキュリティというのは非常に重要な役割を持っているものの1つです。
ここをおろそかにすると、後々非常に大きな問題に発展してしまう可能性も少なくありません。

低ランクによるリスク

では、実際にSSLサーバー証明書の交付を受けるとして、そのランクが低いことによってどのようなリスクがあるのでしょうか？
例えばネットショッピングを行うためのサイトでSSLサーバー証明書のレベルがDVだった場合はどうなるでしょうか？
DVというのは使用権だけを示しているものであり、その安全性などを証明しているものでは全くない、ということはすでに説明したとおりです。
そのため、利用者は安心してそのサイトを利用することが出来なくなってしまうわけです。

さらに、DVレベルにおいては似たようなドメインを利用されてしまう可能性があり、詐欺を目的としたようなサイトに利用されてしまう可能性もあります。
もちろんこれは犯罪者側が一方的に悪いわけですが、顧客からの印象はセキュリティがなっていない会社、としてみなされてしまうことになります。
こういった企業イメージへのダメージは話が広がりやすいIT業界においては特に大きなダメージに繋がるものであるため、細心の注意を払わなければなりません。

これがOVやEVとなった場合、同一ドメインでサイトの作成をしようとした時に元ドメイン先に認証が入ります。
自社で認証していないものであればこれを拒否して、ドメインの使用を差し止めることが出来るようになるため、セキュリティ上の不安が低減することになるわけです。

ただ、OVにおいては利用者からその企業がセキュリティ上すぐれている、ということが一目でわかる形とはなりません。
それを実現することになるのがEVレベルです。
EVレベルである場合、証明書が交付されているサイトにおいてはアドレスバーが緑色に変化するようになっており、間違いなく安全なサイトであることが一目で証明できるようになっています。