SSLとは何か、どの証明書タイプがあなたに適していますか

この記事はGogetSSLが後援しています。 SitePointを可能にしたパートナーをサポートしてくれてありがとう。

サイバー犯罪の発生率は、過去10年間で急激に上昇しています。適切なサイバーセキュリティ措置をまだ実施していない多くの有名な企業組織や政府機関は、損失を被っています。 Googleは、HTTPSを使用していないサイトについて厳しいスタンスを取り始めました。訪問者が安全でない接続を通じて情報を送信しようとしている場合、警告が発行されます。

この記事では、プライバシー違反やデータの盗難から顧客や企業を保護する方法について説明します。 SSLテクノロジーを使用して、ウェブサイトとアプリケーションが機密データの漏れから盗聴者に保護する方法を学びます。

この記事では、SSLのインストール方法は説明しません。これは高度なトピックであるためです。インストールプロセスの詳細については、こちらをご覧ください。

キーポイント

• SSL（Secure Sockets Layer）は、コンピューターネットワーク上の通信を保護するために設計された暗号化プロトコルです。ログイン資格情報やクレジットカードの詳細など、インターネット上に送信される機密情報を保護するためには特に重要です。
• SSL証明書は、WebサイトのIDを検証し、安全で暗号化された通信を有効にするために、Certifical Authority（CA）によって発行されます。これらの証明書には、通常、件名名、公開キー、デジタル署名、発行者、有効な日付が含まれています。
• ドメイン検証SSL証明書、パブリックIP SAN SSL、WildCard SSL、Multi-Domain SSL証明書など、さまざまなニーズを満たすためのさまざまな種類のSSL証明書があります。証明書の選択は、保護するドメインやサブドメインの数などの要因、およびパブリックIPアドレスを保護するかどうかに依存します。
• Legal Entity Identifier（LEI）は、金融取引に関与するグローバル企業を識別するために使用される一意のコードです。 SSL証明書のビジネス検証プロセスを簡素化し、高速化するために使用できます。

SSL

の簡単な説明

ホテルの部屋にいると想像してみてください。ラップトップを使用してホテルのWiFiに接続します。すぐに銀行のオンラインポータルにログインします。一方、悪意のあるハッカーがあなたの隣の部屋を巧みに予約し、ホテルの建物のすべてのネットワークトラフィックを聴くための簡単な駅を設置しました。 HTTPプロトコルを使用したすべてのトラフィックは、ハッカーがプレーンテキストで表示できます。

銀行のWebサイトがHTTPのみを使用しているとし、送信ボタンを押すとハッカーによってユーザー名やパスワードなどのフォームの詳細が表示されます。では、このデータをどのように保護しますか？答えは明らかに暗号化です。データ暗号化には、プレーンテキストデータを文字化けするもの、つまり暗号化されたデータに変換することが含まれます。プレーンテキストデータを暗号化するには、暗号化アルゴリズムとパスワードキーと呼ばれるものが必要です。

次のデータを暗号化すると仮定します。

<code>Come on over for hot dogs and soda!</code>

暗号化されたフォームは次のとおりです

<code>Come on over for hot dogs and soda!</code>

現在のコンピューティング能力を使用して、パスワードキーなしで上記のメッセージを復号化するには、一生以上かかる場合があります。暗号化するパスワードキーがない限り、誰もそれを読むことができません。このタイプの暗号化は、対称暗号化と呼ばれます。データを保護する方法を見つけたので、メッセージの受信者にパスワードキーを安全に転送する安全な方法が必要です。これを行うには、公開キー暗号化と呼ばれる非対称暗号化システムを使用して行うことができます。

公開キーの暗号化は、数学的に関連するパスワードキーのペアを使用します：

• 公開キー：誰とでも安全に共有できます
• 秘密鍵：送信する必要はありません。秘密にしておく必要があります。

1つのキーが暗号化に使用される場合、復号化には別のキーが使用されます。同じキーを使用して、暗号化するコンテンツを復号化することはできません。これがそれがどのように機能するかの説明を示します：

しかし、誰でも生成できるため、私たちに送られた公開鍵を信頼することはできません。パブリックキーの信頼性を確保するには、いわゆるSSL証明書にパッケージ化する必要があります。これは、次の情報を含む署名済みのデジタルファイルです。

Tubject Name：個人、組織、またはマシン名

• 公開鍵
• デジタル署名（証明書の指紋）
• 発行者（証明書に署名したエンティティ）
• 有効期限（開始日と有効期限）
必要なアイテムのみをリストしました。 SSL証明書には通常、より多くの情報が含まれています。ここに本当の例があります：

ご覧のとおり、上記の証明書に署名されています（サムネイルセクションを参照）。デジタル署名は、ファイルのハッシュを暗号化するだけです。最初にハッシュとは何かを説明しましょう。 100語のドキュメントがあり、ハッシュプログラムを実行して実行しているとします。次のハッシュを取得します：

ドキュメント内の何かを変更した場合、期間を追加しても、ハッシュ関数を再度実行すると、新しいハッシュ値が生成されます。

<code>wUwDPglyJu9LOnkBAf4vxSpQgQZltcz7LWwEquhdm5kSQIkQlZtfxtSTsmaw
q6gVH8SimlC3W6TDOhhL2FdgvdIC7sDv7G1Z7pCNzFLp0lgB9ACm8r5RZOBi
N5ske9cBVjlVfgmQ9VpFzSwzLLODhCU7/2THg2iDrW3NGQZfz3SSWviwCe7G
mNIvp5jEkGPCGcla4Fgdp/xuyewPk6NDlBewftLtHJVf
=PAb3</code>

送られたハッシュは、生成されたハッシュと一致しません。つまり、ファイルが変更されました。これは、SSL証明書が変更されていないことを確認するための第1回防衛線です。ただし、送信されたハッシュ値が証明書の発行者によって作成されていることを確認する必要があります。これは、発行者の秘密鍵を使用してハッシュ値を暗号化することによって行われます。証明書でローカルハッシュを実行し、証明書の署名を復号化して送信ハッシュ値を取得すると、2つを比較できます。一致する場合、それは次のことを意味します：

<code>46798b5cfca45c46a84b7419f8b74735</code>

証明書は他の人によって変更されていません

公開鍵を使用して署名を正常に復号化したため、証明書が発行者からのものであるという証拠があります
SSL証明書に添付された公開鍵の信頼性を信頼できます。

今、あなたは私たちが発行者の公開鍵をどこで手に入れ、なぜそれを信頼すべきか疑問に思うかもしれません。発行者の公開キーは、オペレーティングシステムとブラウザに事前にインストールされています。発行者は、公式のCA/ブラウザフォーラムガイドとNISTの推奨事項に従って証明書に署名する信頼できる証明書局（CA）です。たとえば、Microsoftオペレーティングシステムで見つける信頼できる発行者/CAのリストを次に示します。スマートフォンやタブレット、オペレーティングシステム、ブラウザでさえ、同様のリストがプリインストールされています。

2018年5月にW3Techsが実施した調査によると、次の当局は、世界中で発行された有効な証明書の約90％を占めています。

識別
comodo
digicert（Symantecが取得）
godaddy
globalsign

暗号化とSSLテクノロジーについて学んだので、トラフィックに隣のハッカーを読ませることなく、httpsを使用して銀行ポータルに安全にログインする方法を確認するのが最善です。

ラップトップブラウザは、最初に銀行のサーバーからSSL証明書を要求します。
サーバーが送信します。ブラウザは、信頼できるCAリストに基づいて証明書が真であるかどうかを確認します。また、証明書が期限切れになっておらず、取り消されていないことも確認しています。
すべてのチェックが通過した場合、ブラウザは新しいパスワードキー（セッションキーとも呼ばれます）を生成します。 SSL証明書にある公開キーを使用して、暗号化し、サーバーに送信します。
サーバーは秘密キーを使用してセッションキーを復号化します。
これからは、すべての通信がセッションキーを使用して暗号化されます。対称暗号化は、非対称暗号化よりも高速です。
これは、ラップトップから送信されたフォームデータとサーバーからHTMLデータが、ハッカーにアクセスできないパスワードキーを使用して暗号化されることを意味します。キャプチャされたトラフィックログに表示されるのは、単なる文字と数字です。あなたの情報は現在、スヌーピングの目から保護されています。

SSLが一般的にどのように機能するかを理解したので、次のセクションに進み、使用できるさまざまな種類のSSL証明書について学びましょう。

sslタイプ

ドメイン検証SSL証明書

ドメイン検証は、パブリックドメインのWebサイトを保護するために誰にでも発行できる最も手頃な価格で一般的なタイプのSSL証明書です。このタイプのSSL証明書を購入するには、保護するドメインの所有者であることを証明する必要があります。それがドメイン検証と呼ばれる理由です。これは、次の1つ以上の方法で行われます。

• dns txtレコードを作成
• 登録された電子メールのレコードをドメインに送信した電子メールへの返信
• あなたのドメインの有名な管理上の連絡先に送信された電子メールへの返信（admin@domain.comなど）
• 自動証明書の発行システムによって提供される乱数

2019年9月の時点で、Google Chromeは現在最も人気のあるWebブラウザーであり、グローバルデスクトップブラウザー市場シェアの約70％を占めています。 Googleは最近、エンドユーザーのプライバシーが保護されるように、セキュリティプロトコルを実施するサイト所有者に対するスタンスを強化しました。保護されていないWebサイトは安全でないとマークされます。ユーザーが保護されていないサイトにフォームを送信しようとする場合、そうしないように強くお勧めします。 WebサイトのSSL証明書が期限切れになったり無効である場合、Webサイトは一時的にブロックされます。

あなたのウェブサイトが保護されていないために貴重なトラフィックを失いたくない場合は、少なくともドメイン検証されたSSL証明書を取得する必要があります。証明書を取得するのに5〜8分しかかかりません。

public ip san ssl

SSL証明書は、www.domain.comなどの完全に適格なドメイン名を保護するためによく使用されます。パブリックIPアドレスを保護する場合は、パブリックIP SAN SSL証明書を取得する必要があります。 SANは、IPアドレスを保存するために使用できる証明書フィールドのフィールドである主要な代替名を表します。

WildCard SSL

通常のSSL証明書は、www.domain.comなどの単一のドメインでのみ使用できます。サブドメインを保護する場合は、このために新しいSSL証明書を購入する必要があります。管理する各サブドメインに対して新しいSSL証明書を購入する代わりに、サブドメイン、つまり *.domain.comで機能するWildCard SSL証明書を購入するだけです。複数のSSL証明書を購入するよりも費用対効果が高くなります。 SSL証明書の使用も簡単に管理できます。

ただし、サブドメインが侵害されている場合、同じ証明書を使用しているすべてのサブドメインが侵害されることを意味します。それを取り消し、新しい証明書を要求する必要があります。そのような問題に遭遇したくない場合は、個別に購入することもできます。

マルチドメインSSL証明書

名前が示すように、最大​​250のドメインとサブドメインを保護できるマルチドメインSSL証明書を購入できます。このタイプの証明書は、異なる地理的領域にまたがる可能性のある何百ものオフィス通信サーバーを保護するのに特に役立ちます。トラフィックが会社のネットワークに制限されていても、不正な従業員はすべての人のトラフィックを簡単に監視して記録できるため、SSLを保護に使用することをお勧めします。

LEIコードを使用した簡単なビジネス検証

2019年以来、LEI（Legal Entity Identifier）コードを使用して組織を世界中で検証できます。これにより、検証プロセスが簡素化され、大幅に高速化されます。企業は、公式のGleif登録機関を通じてLEIコードを取得できます。

Legal Entity Identifier（LEI）は、金融取引に関与するグローバル企業を識別するために使用される一意のコードです。このプロセスは、国際標準ISO 17442に従って実行されます。目標は、体系的なリスクの監視と測定を支援し、規制報告要件のコンプライアンスを効果的かつ安価にサポートすることです。

要約

購入するSSL証明書を決定するのに十分な情報があることを願っています。 SSL証明書は2年間しか有効であることに注意してください。これは、証明書に関する情報が最新のままであることを保証するセキュリティ機能です。また、不足しているキーがトラフィックに浸透するために使用されないことを保証します。無料のSSL証明書は通常、90日間有効です。更新の購入を忘れないようにしたい場合は、3年または4年のサブスクリプションプランを取得できます。 2年制限レートが適用されることに注意してください。有効期限の終了時に連絡先を受け取り、証明書を新しいものに置き換えます。より長いサブスクリプションプランを選択する利点は、年間購入と比較してお金を節約できることです。

SSL faq

SSLとは何ですか？ SSL（Secure Sockets Layer）は、コンピューターネットワークで安全な通信を提供するように設計された暗号化プロトコルです。通常、ユーザーのブラウザとWebサイトサーバー間のデータ転送を保護するために使用されます。

なぜSSLが重要なのですか？ SSLは、ログイン資格情報、クレジットカードの詳細、その他の個人データなど、インターネット上で送信される機密情報を保護するために重要です。データを暗号化して、許可されていないアクセスと盗聴を防ぎます。

SSL証明書とは何ですか？ SSL証明書は、ウェブサイトのIDを確認し、安全で暗号化された通信を可能にするために使用されるデジタル証明書です。証明書権（CA）によって発行され、証明書所有者に関する情報が含まれています。

私のウェブサイトのSSL証明書を取得する方法は？ SSL証明書を取得するには、証明書当局（CA）から購入するか、Let's Encryptなどの信頼できるCAが提供する証明書を使用できます。証明書を取得したら、Webサーバーにインストールする必要があります。

httpsとは何ですか？ HTTPS（HyperText Transfer Protocol Security）は、HTTPの安全なバージョンです。 SSL/TLSプロトコルを使用して、ユーザーのブラウザとWebサイトサーバーの間に送信されたデータを暗号化します。 HTTPSを使用したWebサイトは、アドレスバーにロックシンボルを表示します。

以上がSSLとは何か、どの証明書タイプがあなたに適していますかの詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。