SSL・HTTPS・証明書・独自SSL・共有SSLについて

SSL・HTTPS・証明書・独自SSL・共有SSLについて

レンタルサーバ

SSL・HTTPS・証明書・独自SSL・共有SSLについて

SSL・HTTPS・証明書・独自SSL・共有SSLを説明します。

 

本ページの目次

 

 

 

 

 

 

 

SSLについて

 

SSLとはSecure Sockets Layerの略で、データを暗号化して送受信する通信手順です。
公開鍵証明書での相手サーバの認証、ハッシュ関数を使用しての改ざんの検知、
共通鍵暗号での通信暗号化などの機能が1セットになっています。
またそれ上でのHTTP通信を、セキュアの頭文字を後ろに付けて「HTTPS」と
呼んでいます。買い物が出来るインターネットサイトなどでよく使用されていますね。

 

 

証明書について

 

上記SSLの機能のうち、証明書についての説明です。
証明書は階層構造になっていて、下位の認証局(=CAと言います)は
上位の認証局に証明書を発行してもらうことによって、その証明書が信頼
出来る事を保証しています。また、階層構造の一番上の認証局をルート認証局
と言い、ルート認証局は自己に対して証明書を発行します。
信頼されたルート認証局の一覧はWEBブラウザに最初から入っています。

 

WEBブラウザは、これらのルート認証局を最上位のパスとしている下位の証明書
については「信頼されている証明書である」と認識します。

 

信頼される認証局としての取組みは、各認証局が公開するCPS(認証業務運用規程、
Certification Practice Statement)に記載されています。

また、2011年に海外の認証局が脆弱性を突かれて偽造証明書が
発行されてしまうと言う事件も有りました。
SSL証明書は安全なのか?~Comodo/DigiNotar事件を振り返って
また、自己署名証明書という信頼されない証明書についてはサーバでいつでも
作成することができます。この証明書は、主にWEBサービス開始前のテストや
外部公開しないWEBページで使用されています。

 

 

証明書の確認方法

 

HTTPS通信先のWEBページが提示する証明書を確認する方法です。

 

鍵のマークをクリックし「証明書の表示」をクリックします。

 

 

「全般」、「詳細」、「証明のパス」から証明書の情報が確認できます。
証明書のパスを見るとルート認証局はベリサインとなっていました。

 

 

WEBブラウザに最初から入っている証明機関一覧は
WEBブラウザの「ツール」→「インターネットオプション」→「コンテンツ」→「証明書」
から確認することが出来ます。

 

 

ベリサインも最初から入っていることが確認出来ました。

 

 

独自SSLと共有SSLの違いについて

 

独自SSL、共有SSLという名称はレンタルサーバ会社が
使用し始めた名称かと思います。

 

「共有SSL」

レンタルサーバ会社が保有しているSSL証明書を契約ユーザーで共有し利用するものです。
使用料金が無料なことが多く、手続きや設定の必要も無いのがメリットです。

 

共有SSLでは、SSLのページのURLにレンタルサーバ屋さんの名前が入ります。
また共有SSLの中でも以下の2種類の方法に分かれます。
さくらのレンタルサーバを例にとりました。

 

1. 独自ドメインで共有SSLを使用する方法
https://secure777.sakura.ne.jp/aaaaa.com/

 

2. 共有ドメインで共有SSLを使用する方法
https://aaaaa.sakura.ne.jp

 

独自ドメインでインターネットショップを開設しているなど
閲覧者に個人情報やパスワードを送信させることが有るホームページでは
共用SSLではなくトップページ以下全て独自SSLで運用するのが
良いと思います。
独自ドメインのホームページであるけれども、上記を行わない場合の
次善の策としては、閲覧者に個人情報やパスワードを送信させることが
有るページのみ「2. 共有ドメインで共有SSLを使用する方法」で
ページを作成するのが良いでしょう。
「1. 独自ドメインで共有SSLを使用する方法」は安全面で劣るため
非推奨です。

 

また共有SSL利用時は、共有SSLについての注意点を見ておきましょう。

 

さくらのレンタルサーバで、独自ドメインで共有SSLを利用しようとすると
以下のポップアップが出ます。

 

また、さくらのレンタルサーバのようなやり方でなぜ独自ドメインで共有SSLを
利用するのは非推奨なのかというのは以下のサイトが詳しいです。

 

独自ドメインで共有SSLを使用できるレンタルサーバ会社のうち、
さくらのレンタルサーバのディレクトリでユーザーを分ける方法とは
違う方法を採っているところもあります。
例えばエックスサーバではサブドメインで分けています。
ssl-xserver.jpのワイルドカードオプション付きのSSL証明書
なのかなと推測します。

 

http://aaaaa.com/
との独自ドメインを共有SSL化すると
https://aaaaa-com.ssl-xserver.jp/
となります。
また契約ドメイン(共有ドメイン)で共有SSL化した際も
同様の方式ですね。この場合はドットが2つ消えますね。
http://aaaaa.xsrv.jp/

https://aaaaa-xsrvjp.ssl-xserver.jp/
となります。

 

「独自SSL」

独自SSLは、独自ドメイン名をURLとして使用できます。
料金はSSL証明書の種類によって数千円から数万円です。
有料で設定を代行してくれるレンタルサーバ会社も有ります。

 

独自SSLでは、SSLのページが

https://独自ドメイン名

との表示になります。

例 https://aaaaa.com

 

 

独自SSLの設定概要

 

契約しているレンタルサーバによって詳細な設定方法は
違いますが、その概要を記載します。
サーバを1から構築する場合は、OpenSSLとApacheで行うのが
よくあるパターンです。

 

まず、契約しているレンタルサーバのコントロールパネルから
独自SSLを選択し、秘密鍵とCSR(証明書署名要求、証明書を申し込むための
データ、CertificateSigningRequest)を作成します。
CSR生成時の記入事項であるドメイン名は、HTPPS通信を行うドメイン名を
記載します。

 

CSRを認証局へ送付し申請します。

 

作成する証明書に対応している中間証明書やクロスルート設定用証明書が
必要である際には、それらをインストールします。

 

認証局で発行してもらった証明書をインストールします。

 

その後、SSL用のディレクトリ(フォルダ)を指定し完了です。

 

※追記 エックスサーバでのSNI SSL証明書の設定方法について
以下のサイトに記載しました。

 

てきどな無線ルータ比較 - SNI SSL証明書の取得/設定方法