全2293文字
「安心できるWebサイト」を運用するために欠かせないサーバー証明書には、認証局を運営する組織が有料で発行するものと無料で発行するものがある。どちらも同じなら無料の証明書を使いたいところだが、他の無料セキュリティーツールと同じように落とし穴が潜んでいる。ここでは無料のサーバー証明書を使う場合の注意点を解説する。
証明書が運営者の身元を保証
まずはサーバー証明書についておさらいしておこう。サーバー証明書には2つの大きな役割がある。1つは暗号化、もう1つはサイト運営者の認証である。この2つの役割によって、利用者がWebサイトを安心して利用できるようになる。
Webサイトにアクセスすると、多くの場合URL欄の左側に鍵アイコンが表示される(図3-1)。これは、通信がTLSにより暗号化され保護されていることを意味する。クレジットカード番号やパスワードなどをWebサイトのフォームに入力して送信しても、その内容が盗み見られることはない。これがサーバー証明書による暗号化だ。
図3-1●鍵のアイコンは暗号化の証し
Webサイトにアクセスすると、多くの場合URL欄の左側に鍵アイコンが表示される。通信が暗号化されている証しであり、それを実現しているのがサーバー証明書である。
[画像のクリックで拡大表示]
もう1つのサイト運営者の認証とは、やりとりするWebサイトが、正しい運営者が設置した正規のWebサイトかどうかを判断する機能だ。これにより、間違ってアクセスしたWebサイトや悪意のあるなりすましのWebサイトに個人情報を送るのを防ぐ。
サーバー証明書の内容は、URL欄の左側に表示される鍵アイコンから確認できる(図3-2)。例えば「サブジェクト」を見れば、サーバー証明書の発行先のドメイン名や組織名などを確認できる。
図3-2●Webサイトの運営者を確認できる
サーバー証明書のもう1つの役割はWebサイト運営者の認証である。サーバー証明書を見れば、正しい運営者が設置した正規のWebサイトかどうかを確認できる。
[画像のクリックで拡大表示]
一方、サーバー証明書がないWebサイトでは鍵アイコンは表示されず、「保護されていない通信」などと表示される(図3-3)。この場合、通信相手の認証や通信の暗号化は実施されない。
図3-3●サーバー証明書がないと「保護されていない通信」になる
サーバー証明書がないWebサイト(URLがhttpで始まるWebサイト)ではTLSによる認証や暗号化が行われないため、「保護されていない通信」などと表示される。
[画像のクリックで拡大表示]
