SSL/TLS 証明書とは何ですか?

SSL/TLS 証明書は、システムがアイデンティティを検証し、その後、Secure Sockets Layer/Transport Layer Security (SSL/TLS) プロトコルを使用して別のシステムへの暗号化されたネットワーク接続を確立できるようにするデジタルオブジェクトです。証明書は、公開鍵基盤 (PKI) と呼ばれる暗号化システム内で使用されます。PKI では、双方が認証機関と呼ばれるサードパーティを信頼している場合に、証明書を使用して一方から他方のアイデンティティを確立する方法となります。したがって、SSL/TLS 証明書は、ネットワーク通信を保護し、インターネットを介したウェブサイトと、プライベートネットワーク上のリソースのアイデンティティを確立するためのデジタルアイデンティティカードとして機能します。

SSL/TLS 証明書が重要なのはなぜですか?

SSL/TLS 証明書は、ウェブサイトのユーザー間の信頼を確立します。企業は、SSL/TLS 証明書をウェブサーバーにインストールして、SSL/TLS で保護されたウェブサイトを作成します。SSL/TLS で保護されたウェブページの特徴は次のとおりです。

  • ウェブブラウザ上の南京錠アイコンと緑色のアドレスバー
  • ブラウザのウェブサイトアドレスの https プレフィックス
  • 有効な SSL/TLS 証明書。URL アドレスバーの南京錠アイコンをクリックして展開することで、SSL/TLS 証明書が有効かどうかを確認できます
  • 暗号化された接続が確立されると、クライアントとウェブサーバーのみが送信されたデータを表示できます。

SSL/TLS 証明書のいくつかのメリットを以下に示します。

個人データを保護します

ブラウザは、任意のWebサイトのSSL/TLS証明書を検証して、Webサイトサーバーとの安全な接続を開始および維持します。SSL/TLSテクノロジーは、ブラウザとWebサイト間のすべての通信を確実に暗号化するのに役立ちます。

顧客の信頼を強める

インターネットに精通した顧客は、プライバシーの重要性を理解しており、訪問しているウェブサイトを信頼したいと考えています。SSL/TLSで保護されたWebサイトには緑色の南京錠アイコンがあり、顧客はこれを安全だと認識しています。SSL/TLS 保護は、データをビジネスと共有するときに、データが保護されていることを顧客が知るのに役立ちます。

規制コンプライアンスをサポートする

一部の企業は、データの機密性と保護に関する業界の規制を遵守する必要があります。たとえば、ペイメントカード業界の企業は PCI DSS を遵守する必要があります。PCI DSSは、SSL/TLS証明書でWebサーバーを保護するなど、安全なオンライントランザクションを提供するための業界要件です。 

SEO を改善する

主要な検索エンジンは、SSL/TLS保護を検索エンジン最適化のランキング要素にしています。SSL/TLSで保護されたWebサイトは、SSL/TLS証明書のない同様のWebサイトよりも検索エンジンで上位にランク付けされる可能性があります。これにより、検索エンジンから SSL/TLS で保護された Web サイトへの訪問者が増加します。 

SSL/TLS 証明書テクノロジーの主要原則にはどのようなものがありますか?

SSL/TLS は、Secure Sockets Layer と Transport Layer Security の頭字語です。これは、コンピュータシステムが相互にインターネット上で安全に通信できるようにするプロトコルまたは通信ルールです。SSL/TLS 証明書により、ウェブブラウザは、SSL/TLS プロトコルを使用した、ウェブサイトへの暗号化されたネットワーク接続を識別し、確立できるようになります。

暗号化

暗号化とは、元のメッセージをスクランブルして、意図された受信者だけが復号できるようにすることです。例えば、すべての文字をアルファベット順で 2 つ後の文字にして、cat という単語を ecv に変更します。受信者はルール (またはキー) を知っていて、実際の単語を読むために各文字を 2 つ前の文字になるようにします。SSL/TLS 暗号化はこの概念に基づいて構築されており、メッセージの暗号化と復号に 2 つの異なるキーを使用するパブリックキー暗号化を使用します。 PKI では、双方が認証機関と呼ばれるサードパーティを信頼している場合に、証明書を使用して一方から他方のアイデンティティを確立する方法となります。認証機関は、通信を開始する前に、証明書を検証し、双方を認証します。

キーには次の 2 つの種類があります。

パブリックキー

ブラウザとウェブサーバーは、パブリックキーとプライベートキーのペアを使用して情報をエンコードおよびデコードすることによって通信します。パブリックキーは、ウェブサーバーが SSL/TLS 証明書でブラウザに提供する暗号キーです。ブラウザは、ウェブサーバーに送信する前に、キーを使用して情報を暗号化します。

プライベートキー

ウェブサーバーだけがプライベートキーを持っています。プライベートキーで暗号化されたファイルは、パブリックキーによってのみ復号でき、その逆もまた同じです。該当のパブリックキーが該当のプライベートキーで暗号化されたファイルのみを復号できる場合、そのファイルを復号できることで、意図された受信者と送信者が本人であることが保証されます。

認証

サーバーは、SSL/TLS 証明書のパブリックキーをブラウザに送信します。ブラウザは、信頼できる第三者からの証明書を検証します。したがって、ウェブサーバーが本物であることを検証できます。

デジタル署名

デジタル署名は、あらゆる SSL/TLS 証明書に固有の番号です。受信者は、新しいデジタル署名を生成し、それを元の署名と比較して、証明書がネットワーク上を移動する際に外部者がその証明書を改ざんしていないことを確認します。

誰が SSL/TLS 証明書を検証しますか?

認証機関 (CA) は、SSL/TLS 証明書をウェブオーナー、ウェブホスティング企業、または事業体に販売する組織です。CA は、SSL/TLS 証明書を発行する前に、ドメインと所有者の詳細を検証します。CA になるには、組織がオペレーティングシステム、ブラウザ、またはモバイルデバイス企業によって定められた特定の要件を満たし、ルート認証機関としてリストされるよう申請する必要があります。これは、インターネットユーザー間の信頼を確立するために重要です。例えば、Amazon Trust Services は認証機関であり、ウェブサイトに SSL/TLS 証明書を発行できます。 

SSL/TLS 証明書の有効期間はどのようになっていますか?

SSL/TLS 証明書の有効期間は最大 13 か月間です。SSL/TLS 証明書の有効性は、直近の数年間で徐々に短くなっています。この意図は、ビジネスやウェブユーザーに影響を及ぼすセキュリティリスクを抑制することにあります。例えば、信頼できないサードパーティーが、期限切れのドメインの有効な SSL/TLS 証明書を使用して、不正なウェブサイトを作成することがあります。 

有効期間を短縮することで、SSL/TLS 証明書を悪用する可能性が低くなります。SSL/TLS 証明書の有効期限が切れると、該当のウェブサイトがセキュリティで保護されていないという警告がブラウザでウェブ訪問者に表示されます。組織は、古い SSL/TLS 証明書を取り消し、更新された証明書に置き換えます。セキュリティインシデントを回避するために、以前の証明書の有効期限が切れる前に更新プロセスを実行する必要があります。

SSL/TLS 証明書には何が含まれていますか?

SSL/TLS 証明書には次の情報が含まれています。 

  • ドメイン名
  • プライベート認証機関
  • 認証機関のデジタル署名
  • 発行日
  • 有効期限
  • パブリックキー
  • SSL/TLS のバージョン

TLS は、Transport Layer Security の頭字語です。これは、SSL/TLS プロトコルバージョン 3.0 の後継であり、連続的なものです。SSL/TLS と TLS の技術的な違いはわずかです。SSL/TLS と同様に、TLS はブラウザとウェブサーバー間の暗号化されたデータ転送チャネルを提供します。最新の SSL/TLS 証明書は SSL/TLS の代わりに TLS プロトコルを使用しますが、SSL/TLS は依然としてセキュリティ専門家の間で人気のある頭字語です。まったく同じではありませんが、SSL と TLS という用語は一般的に同じ意味で使用されます。また、暗号化プロトコルを SSL/TLS と呼ぶこともあります。

SSL/TLS 証明書はどのように機能しますか?

ブラウザは SSL/TLS 証明書を使用して、SSL/TLS ハンドシェイクを通じてウェブサーバーとの安全な接続を開始します。SSL/TLS ハンドシェイクは、Hypertext Transfer Protocol Secure (HTTPS) 通信テクノロジーの一部です。これは HTTP と SSL/TLS を組み合わせたものです。HTTP は、ウェブブラウザがプレーンテキストでウェブサーバーに情報を送信するために使用するプロトコルです。HTTP は暗号化されていないデータを送信します。つまり、ブラウザから送信された情報は、第三者によって傍受され、読み取られる可能性があります。ブラウザは、完全にセキュアな通信のために、HTTP と SSL/TLS、または HTTPS を使用します。

SSL/TLS ハンドシェイク

SSL/TLS ハンドシェイクには、次の手順が含まれます。

 

  1. ブラウザが SSL/TLS で保護された Web サイトを開き、Web サーバに接続します。
  2. ブラウザは、識別可能な情報を要求することにより、Webサーバーの信頼性を検証しようとします。 
  3. Web サーバーは、公開鍵を含む SSL/TLS 証明書を返信として送信します。
  4. ブラウザはSSL/TLS証明書を検証し、それが有効であり、Webサイトのドメインと一致することを確認します。ブラウザがSSL/TLS証明書に満足すると、公開鍵を使用して秘密のセッション鍵を含むメッセージを暗号化して送信します。
  5. Web サーバーは、秘密鍵を使用してメッセージを復号化し、セッション鍵を取得します。次に、セッションキーを使用して暗号化し、確認メッセージをブラウザに送信します。
  6. これで、ブラウザとWebサーバーの両方が同じセッションキーを使用してメッセージを安全に交換するように切り替わります。 

セッションキー 

セッションキーは、初期 SSL/TLS 認証が完了した後、ブラウザと Web サーバー間の暗号化された通信を維持します。セッションキーは、対称暗号の暗号キーです。対称暗号は、暗号化と復号化の両方に同じ鍵を使用します。非対称暗号は、計り知れない計算能力を消費します。そのため、Web サーバーは SSL/TLS 接続を維持するために必要な計算が少ない対称暗号化に切り替わります。

SSL/TLS 証明書のタイプにはどのようなものがありますか?

SSL/TLS 証明書は、検証とドメインに応じて異なります。さまざまな検証レベルの証明書は、次のとおり分類されます。

  • EV (Extended Validation) 証明書
  • OV (Organization Validated) 証明書
  • DV (Domain Validated) 証明書

さまざまなドメインタイプをサポートする SSL/TLS 証明書は次のとおりです。

  • シングルドメイン証明書
  • ワイルドカード証明書
  • マルチドメイン証明書

EV (Extended Validation) 証明書 

Extended Validation 証明書 (EV SSL/TLS) は、最高レベルの暗号化、検証、および信頼を備えたデジタル証明書です。EV SSL/TLS を申請する場合、組織またはウェブオーナーは、認証機関による厳しいチェックを受けます。これには、物理的な企業所在地、適切な証明書の申請、およびドメインを使用する独占的権利の検証が含まれます。 

 

企業は EV SSL/TLS を使用して、権限のない第三者からユーザーを保護します。これは、企業が金融取引や医療記録などの機密データをウェブサイト上で処理する場合に重要です。EV SSL/TLS 証明書には、ビジネス組織の詳細が含まれており、ブラウザで表示できます。

OV (Organization Validation) 証明書

Organization Validation 証明書 (OV SSL/TLS) は、検証と信頼の点で EV SSL/TLS に次ぐものです。EV SSL/TLS と同様に、企業は OV SSL/TLS を申請する際に検証プロセスを経る必要があります。審査プロセスの厳しさは劣りますが、申請者はドメインの所有権を証明機関に証明する必要があります。

OV SSL/TLS 証明書には、検証済みのビジネス情報が含まれており、ブラウザで検査できます。顧客に直接サービスを提供する営利企業は、顧客間の信頼を築くために OV SSL/TLS 証明書を使用します。OV SSL/TLS は堅牢な暗号化を提供し、ウェブ閲覧時の顧客のプライバシーを保護します。 

DV (Domain Validation) 証明書

Domain Validation 証明書 (DV SSL/TLS) は、検証レベルが最も低いデジタル証明書です。また、これらの証明書は、申請にかかる費用が最も少なくて済みます。EV SLL や OV SSL/TLS とは異なり、DV 証明書の申請者は、それほど厳しくない審査プロセスを経ます。申請者は、検証メールまたは電話に応答することによって、ドメインの所有権を証明します。

DV 証明書には、申請者の組織または事業の完全な情報は含まれていません。したがって、この証明書は、ユーザーに高度な保証を提供するものではありません。DV 証明書は、ブログなどの情報を提供するウェブサイトに適しています。支払いゲートウェイ、ヘルスケア関連事業、または機密データを取り扱う他のウェブサイトには理想的ではありません。

シングルドメイン SSL/TLS 証明書

シングルドメイン SSL/TLS 証明書は、1 つのドメインまたはサブドメインのみを保護する SSL/TLS 証明書です。ドメインは、amazon.com などのウェブサイトのメイン URL またはアドレスです。サブドメインは、aws.amazon.com など、メインドメインの前に付くテキスト拡張子を持つウェブアドレスです。

例えば、http://example.com でシングルドメイン SSL/TLS 証明書を使用できます。ただし、http://example.comsub.example.com の証明書を同時に使用することはできません。

ワイルドカード SSL/TLS 証明書

ワイルドカード SSL/TLS 証明書は、ドメインとそのすべてのサブドメインを保護する SSL/TLS 証明書です。例えば、ワイルドカード SSL/TLS 証明書を使用して、http://example.comblog.example.com、および shop.example.com を保護できます。

マルチドメイン SSL/TLS 証明書

マルチドメイン証明書は、UCC (Unified Communications Certificate) とも呼ばれます。マルチドメイン SSL/TLS 証明書は、同じ所有権を持つ、同じまたは異なるサーバーでホストされている複数のドメイン名向けに SSL/TLS 保護を提供します。例えば、http://example1.comdomain2.co.ukshop.business3.com、および chat.message.au のマルチドメイン証明書を購入するとします。 

AWS Certificate Manager とは何ですか?

AWS Certificate Manager (ACM) は、AWS のサービスとお客様の内部接続リソースで使用するパブリックとプライベートの SSL/TLS 証明書のプロビジョニング、管理、デプロイを簡単にするサービスです。これにより、SSL/TLS 証明書の購入、アップロード、および更新という時間のかかる手動プロセスを排除できます。代わりに、証明書を迅速にリクエストして、Elastic Load BalancingAmazon CloudFront ディストリビューション、Amazon API Gateway の API など ACM に統合された AWS リソースでデプロイできます。また、AWS Certificate Manager が証明書を更新するように設定することもできます。また内部リソースのためのプライベート証明書を作成し、証明書ライフサイクルを集中的に管理することも可能になります。

組織は ACM を使用して、SSL/TLS 証明書の適用、デプロイ、および更新を簡素化します。証明書署名リクエスト (CSR) を生成して認証機関に送信する従来のプロセスの代わりに、数回クリックするだけで ACM マネージド SSL/TLS 証明書を作成できます。 

今すぐ AWS アカウントにサインアップして、AWS Certificate Manager の使用を開始しましょう。

AWS での SSL 証明書の次のステップ

追加の製品関連リソースを確認する
SSL 証明書サービスの詳細 
無料のアカウントにサインアップ

AWS 無料利用枠にすぐにアクセスできます。 

サインアップ 
コンソールで構築を開始する

AWS マネジメントコンソールで AWS ハイブリッドクラウドを使用した構築を始めましょう。

サインイン