全2747文字
PR

 ”安心できるWebサイト”を運用するために欠かせないTLS/SSLサーバー証明書には、セキュリティーベンダーが有料で発行するものと無料で発行するものがある。この無料サーバー証明書には思わぬ「落とし穴」が潜んでいる。落とし穴とは何か、無料のサーバー証明書を使う場合何に気を付けるべきかを解説しよう。

証明書が運営者の身元を保証

 無料サーバー証明書の落とし穴を理解するには、サーバー証明書の役割を知っておく必要がある。まずは簡単におさらいしておく。

 サーバー証明書には2つの大きな役割がある。1つは暗号化、もう1つはサイト運営者の認証である。この2つの役割によって、利用者がWebサイトを安心して利用できるようになる。

 多くのWebサイトはWebブラウザーでアクセスするとURL欄の左側に鍵のアイコンが表示される。

日経クロステックのWebサイトで左側の鍵のアイコンをクリックすると、通信が暗号化されていることが分かる
日経クロステックのWebサイトで左側の鍵のアイコンをクリックすると、通信が暗号化されていることが分かる
(出所:日経クロステック)
[画像のクリックで拡大表示]

 通信内容が暗号化されて保護されていることを意味する。クレジットカード番号やパスワードなどをWebサイトのフォームに入力して送信しても、その内容が暗号化されて第三者に盗み見られることはない。これがサーバー証明書による暗号化だ。

 もう1つのサイト運営者の認証とは、やりとりするWebサイトが正しい運営者が設置した正規のWebサイトかどうかを判断する機能だ。Webサイトにクレジットカード番号やパスワードなどを入力すると、運営者にこれらの情報が伝わる。間違ったWebサイトで入力すれば、不正な運営者にこれらの情報を伝わってしまう。認証によってこれを防ぐ。

 日経クロステックのWebサイトでは、証明書の発行者はサイバートラスト、発行先は「*.nikkei.com」、有効期間は2021年11月23日まで、と確認できる。詳細を見ると、具体的な発行先が「Digital Strategy and Planning Unit, Digital Business, Nikkei Inc. , Chiyoda-ku, Tokyo」であると分かる。

日経クロステック(nikkei.comドメイン)のサーバー証明書の詳細
日経クロステック(nikkei.comドメイン)のサーバー証明書の詳細
(出所:日経クロステック)
[画像のクリックで拡大表示]

 発行者のサイバートラストは大手証明書発行業者で、発行先は東京都千代田区の日本経済新聞社(日経BPの親会社)に実在する部署である。有効期間中でもある。これらのことから、運営者の身元が確からしいと判断できる。

 一方、一部のサイトではURL欄の左側に鍵のアイコンが付かず、「保護されていない通信」と表示されることがある。証明書を取得していない、もしくはサーバー証明書をWebサーバーに正しく登録していないとこのような表示になる。暗号化も認証も実施されない。

サーバー証明書を取得していないWebサイト。通信経路が暗号化されない
サーバー証明書を取得していないWebサイト。通信経路が暗号化されない
(出所:日経クロステック)