Image
 
 
Facebook
 
Instagram
 
YouTube
 
Image

今までご縁をいただいた方に不定期で配信しています、ピーシーザッカ天の便りです。
本日は、サイト運営に不可欠なSSL証明書についてのお話です。

 
 
Image
 

必須事項となったSLLサーバー認証のすすめ

いまや誰でもがネットを利用でき、誰でもがサイトを作れることができ、ありとあらゆるサイトが存在します。しかしながら、中には悪質な犯罪が潜むサイトも数多く存在するのはご承知のとおりです。サイト運営(ホームページ)する上でビジネスにおいて一番のポイントは、利用する側にとってそのサイトが実存するか、安全なサイトかが問われることとなります。

Image

例えば現実の世界の話でいいますとあなたが欲しい商品が、隣町でも外国でもいいのですが、どこかのお店にあったとします。お店で商品を購入するために、あなたは、クレジットカードを持って自宅を出発します。目的地までの道路では、色々な人が歩いています。自分しか使えない道路というのはありませんものね。どこへでも行ける私道を持っている人はいませんし。


ここで、スリにあう可能性がありますね。


次に、ネットの世界に話が変わります。あなたが欲しい商品が、ネット上のとあるお店にありました。購入には、クレジットカードを使うことにします。あなたのクレジットカード情報は、インターネットという誰もが自由に使える通信網(道路)を経由して、お店に届きます(自分しか使えない通信路として専用線という手段はありますが、一元的な買い物という点で現実的ではありませんので、ここでは手段としては取り上げません)。


ですから、通信路の中を流れるデータを見ることが出来る人には、あなたのカード情報は見られてしまいます。


現実の世界でいうスリがネットにもいたらどうでしょう。つまり、盗聴を働く人です。
盗聴するためのツールが無料でダウンロードできたりするのが実際ですから、こういうスリは、少なからずいると思ったほうがよいでしょう。しかも、スリにあったかどうかは、通信路上の話なので、あなたはわからないでしょう。きっと、「もしや?」と思うのは、知らない間に自分のカードで色々買い物がされて多額の請求がきたときでしょうか。


誰でも通れる道路を「通るな!」と制限するのはできません。あなたのクレジットカードを「見るな!」とは言えないのですね。


そこで、盗聴対策としては「見たところで何を意味しているのかわからなくする」のが有効で、そのために「暗号化」が出番となるわけです。実現方法はさておき、SSL サーバー証明書を使うことで、端末とサーバーの間でやりとりされるデータを暗号化することが出来ます。

Image

暗号化だけでは不十分

さて、暗号化により、目的地である Web サイトまでの道中は安全になりました。そして、暗号されたデータは、Web サイトに到着したら復号されます。そうしないと、ネットの商店の主は決済処理できないですから。

 

ところが、この商店が、偽物だったらどうしますか。

 

カード情報は盗まれて、商品は届かないというわけです。カード情報が悪用されて、身に覚えのない買い物に、支払の責だけを負うということです。

 

では、あなたに Web サイトが本物か偽物か区別できますか。

 

初めて利用するサイトなら、そもそも本物を知らないでしょうし、また、本物を知っていたとしても、偽サイトは本物のデザインに巧妙に似せて作られているでしょうから、やはり区別するのは難しいことでしょう。

さて、暗号化により、目的地である Web サイトまでの道中は安全になりました。そして、暗号されたデータは、Web サイトに到着したら復号されます。そうしないと、ネットの商店の主は決済処理できないですから。

ところが、この商店が、偽物だったらどうしますか。

カード情報は盗まれて、商品は届かないというわけです。カード情報が悪用されて、身に覚えのない買い物に、支払の責だけを負うということです。

 

 

ここで、SSL サーバー証明書の「認証」の出番です。
誰がサイトを運営しているのかを証明
例としてサイバートラストのような SSL サーバー証明書を発行する会社は、「認証局」や「認証事業者」と呼ばれたりしますが、認証局というのは、その証明書を使う組織がどういうところか調査(※)したうえで、作成し、提供します。そして、調べた結果を証明書の中に情報として含めます。

またサイバートラストの証明書では、使用する会社が実際に存在するかを調べます。確かに存在すると確認できた時は、会社名や住所、その証明書が使われるWebサイトの場所(例:www.cybertrust.ne.jp)を証明書に入れます。

ところで、存在さえすれば、誰が申し込んできても提供してよいかというと、そうではありません。偽サイトを立てるかもしれない人に提供してしまうリスクがあるので。証明書を提供する人(組織)は、本物であると確認できた人、あるいは、本物から確かに代理を受けた人に限らなければいけません。

ですから、申請者の存在を確認のうえで証明書を発行する認証局の場合ですと、事前に本物の組織からの申請であるかを確認し、本物または代理人へのみ納品する仕組みを設けています。

このようなやり方で取得された SSL サーバー証明書を Web サイトに使用することで、その証明書を見たサイトの訪問者は、「誰が運営しているサイトか、それは自分が取引しようとしている会社であるか」が確認できるようになります。平たく言えば、存在確認をしている証明書であれば、本物か偽物かの判断の目安になるわけです。

実際のネットの利用場面で、サイトの訪問者がいちいち証明書の中身を確認するのか、という疑問はあるかと思います。この点について、証明書やブラウザがどのように課題を解決しているのか、次回の寄稿で説明させて頂きたいと考えています。

高まる「認証」の必要性

SSL サーバー証明書の役割、いかがでしょうか。道中安全でも、たどり着いた先が安全でなければ意味はないので、暗号化と認証は、切り離すことができないことをご理解頂けましたでしょうか。

Web サイトの管理者にとって、サイトの訪問者に安心してもらいながら利用頂くためには、SSL サーバー証明書は不可欠なものです。一昔前は、個人情報を入力するページにだけ証明書が使用されていたのが、今では入力がない Top ページ、あるいは、サイトによっては全ページに証明書を使うサイトを見かけるようになりました。これは、SSL サーバー証明書を暗号化のためだけでなく、認証にも重点を置いた使用例です。

Image

なかなか難しい話になってしまいましたので、結論として要約しますとビジネスにおけるサイト運営には、信頼性にSSL証明書は欠かせない存在となっているということです。SSLにおいては認証レベルが何段階かありますが、最初は、ラピッドSSLでも十分かと思いますので、ぜひサイト運営に設定しておくことをオススメ致します。
さくらインターネットにおけるラピッドSSLだと1,500円(税別)/1年と非常に安価でもあります。複数年の場合割引あります。

さくらインターネットからは、特にインセンティブなど戴いておりませんが(^^;)安価なSSLとしてオススメです。

SSL導入のお考えの方は、当方の方までご連絡いただければ設定致します。

 
 
Email Design Workshop
 

ピーシーザッカ/アマノ

********************

PCzakka/amano  ピーシーザッカ/アマノ

天野 寛

〒807-0112福岡県遠賀郡芦屋町正門町5-40

TEL080-3732-0398 FAX093-863-0123

 Mail:amano@pczakka.com

********************

I'm a new HTML block.
 
Facebook
 
Instagram
 
YouTube
 
 

c 2017 PCzakka/amano. All rights reserved