SSL証明書

[4]SSL証明書のお買い求め・管理が簡単になります

本ニューズレターでも2014年6月号でご紹介した、Joe’sの新しい受注システムについて、SSL証明書を新たにサポートさせて頂くこととなりました。SSL証明書は、プランによっては注文の際に入力する項目も多く、ユーザーの皆さんにとっては手間な部分がありました。また、通常は有効期間が1年、場合によっては数年間に及ぶこともあり、更新忘れで失効しないように管理が必要など、システム管理者の方の負荷にもなっていたと思われます。その様な手間、苦労を少しでも軽減させていただくことも重視し、新しいシステムの開発に取り組んでいます。新しいシステムでSSLの注文がどの様に変わるのかご紹介します。

 

Joe’sでは、今から約5年前に、それまで使用していたSSL証明書受注システムを現行のシステムに更新しました。それまで、シンプルなCGIを用いて処理していたところを、DBと連動し、入力内容の検証やCSRの自動作成などにも対応したシステムに改良されたことで、多くのユーザー様にご評価をいただいてきました。

WHMCSのサイト

 

しかし、ITの世界において5年という歳月は長く、デザイン面でやや古いものになっていたり、昨今の受注システム(フォーム)が備えている便利な機能が欠けていたり、システムそのものを運用するサーバー環境も1~2世代ほど前のものになってしまっていました。そこで、既報の通り、WHMCSというシステムへの移行を決定し、既存の各サービス毎の受注システムをWHMCSに集約する作業を続けてきました。

 

まだ全てのサービスを集約するには少し時間が必要ですが、先行して対応していたVPSサービスに続き、SSL証明書販売サービス(Joe’s SSL市場)も、WHMCSにて稼働させていただくことになりました。

 

新しいシステムになることでどのように変わるのか、3点ほどご紹介したいと思います。

 

1. 申し込みプランに応じたフォームの最適化

 

現行のフォームでは、開発にあたって、受注担当者から仕様について様々なリクエストが有りました。その中で、「申し込み内容が後から変更になる」というケースが多いというものがありました。

 

WHMCSでのSSL注文用フォーム。現行のフォームをベースにプラン毎に最適化している。

SSL証明書では、一般の方ではなかなか聞く機会のない様々な用語や手続きなどが存在し、よく分からないまま申し込んでしまった、というケースや、申し込んだけどやっぱりこのプランに変えたい、というリクエストが多く発生していました。

 

このような場合、通常は再度申し込んでいただくことになるのですが、ユーザー様にとっては面倒な作業でもあり、当社としても、発注意欲がそがれて失注するような事態にもなるため、このような事態になっても再度申し込みをせずに対応するため、「お申し込み時に全てのプランで通用する情報を収集する」という方針にし、実際、プラン変更によって不足する情報などが発生することがなくなったため、ユーザー様の手間も減り、現場の業務も効率的になりました。

 

しかし、この方式にはデメリットもあり、ドメイン認証などの、本来必要情報の少ないプランであっても多くの情報を入力して頂く必要があるため、プランによっては入力の負荷が高いということが難点でした。現行のフォームに移行して数年が経過し、当初問題になっていた「申し込みの間違い・変更」というケースも少なくなってきたことも鑑み、プラン毎にフォームを最適化することにしました。

 

これにより、プランによっては従来のフォームよりも70%近く入力項目が減少し、ユーザー様の手間を少なくできたと思われます。

 

2. タイムリーな更新案内

 

Joe’sでは、8ブランドものSSL証明書を取り扱っており、ユーザー様に安価にお届け出来るよう、証明書の仕入れ先も複数に分散しています。そのため、仕入れ先によって社内の業務フローも複数存在し、社内で管理する情報にも、不完全な部分が生じてしまっていました。中でも、「証明書の有効期限」については、プランによっては発注日から数週間ずれるものもあり、社内で正確に管理するのが難しい面もあったため、一部プランでは、仕入れ先から更新日が到来したことを連絡するメールが到着してから、ユーザー様へ更新案内をさせていただく、というようなフローになっていました。

ユーザー用のポータル画面。契約情報、請求、問い合わせ等が一元管理できる。

 

WHMCSでは、ホスティングサービスの運用に最適化されており、有効期限が来たら更新案内を送る、という機能を標準で持っています。残念ながら、一部の仕様は当社が希望するほどのレベルにはなかったため、追加機能の開発を予定していますが、WHMCSにはAPI(アプリケーション・プログラミング・インターフェース)という、外部のプログラムがWHMCSの機能を利用するための仕組みが準備されているため、ゼロから開発するよりも楽に改良できるようになっています。

 

今後は当社が有効期限を正確に管理し、現行よりもさらに前もって、段階的に更新案内をお送りすることで、ユーザー様も計画的に更新に備えることができ、当社としてもより多くのユーザー様の支持をいただけるものと考えています。

 

3. 契約状況を参照できる管理画面の提供

 

Joe’sでは複数のサービスをご提供していますが、これまでは、複数のサービスをご契約いただいていてもそれぞれの情報は独立しており、ユーザー様に一元的に契約状況を管理していただくツールはご提供できていませんでした。ホスティングサービスなどは契約期間も長く、長年更新してご利用いただくもののため、その間に担当者が代わったりした場合情報が引き継がれず、ユーザー様が弊社とどのような契約を行っているか、ということが不明になり、お問い合わせを頂くこともありました。

契約中のサービスの一覧。有効期限も表示されている。

 

WHMCSでは、ユーザー様毎にポータル画面が存在しており、自社の契約状況を簡単に確認することができます。有効期限なども一覧で確認ができるため、当社にお問い合わせ頂くことなく、確認・管理していただくことが可能になっています。SSL証明書販売サービス等では、購入済のSSL証明書はポータルサイト内で再ダウンロードすることも可能ですので、手元のコピーをなくしてしまった、という場合も安心してご利用いただけます。

 

現在はVPSサービスと新たに追加されるSSL証明書販売サービスのみとなりますが、近い将来全サービスを一元して管理できるようになることで、より一層ご利用しやすくなるものと考えています。

 

Joe’sでは全サービスをWHMCSでの管理に移行することを予定しており、VPSサービス、そして今回のSSL証明書販売サービスでの導入に引き続き、他のサービスも近日中に移行を予定しています。

 

Joe’sでは、今後もユーザー様へのより良いサービスのご提供に努めてまいります。

[1]オレオレ証明書ではない、無料のSSL証明書が流通するって本当?

SSL証明書は無料であるべきと立ち上がった Let's Encryptプロジェクト

 

ITのサービスは、例外なく低価格化・無料化が進んでいるようです。今年の11月18日に、米国のセキュリティ関連の非営利団体ISRG(Internet Security Research Group)から、2015年夏以降、SSL証明書を誰でも無償で簡単に取得できるようにする、という発表がありました。「Let’s Encrypt」というプロジェクトです。ISRGは、電子フロンティア財団(EFF)やアカマイ・テクノロジーズ、シスコシステムズ、モジラなどインターネット関連の企業がスポンサーになっていて、日本でいうNPO法人とは違うようです。ITProやCNET Janpanなど、多くの国内WEBメディアが取り上げています。

 

SSL証明書は、ブラウザに登録されていないと、認識されない。

Joe’s SSL市場は、大丈夫でしょうか、とよく聞かれます。この1か月の間、色々調査してみました。まず、暗号化の機能はあるが、なりすましのために誰でも認証局をつくれる、いわゆるオレオレ証明書ではないことはすぐにわかりました。

SSL証明書が何故こんなに高価なのか、またどうして取得に時間がかかるのか不思議に思われる方も多いかと思います。ISRGもそのような問題意識のもとに、インターネットの健全な発展のためにそのようなプロジェクトをおこしたということです。そのような視点は、Joe’s SSL市場でも共有しています。

過去にセキュリティ的な不具合で閉鎖を余儀なくされた認証局もある。SSL証明書の発行は責任がともなう。

 

しかしながら、SSL証明書の発行は、フィッシングやサイトのなりすましを防ぐために、ブラウザに登録されているような権威ある認証局が、申請に対して審査をして発行するものです。必然的に、SSL証明書の発行には責任がともないます。SSL証明書が誤って発行されたために、サイト訪問者が詐欺などの被害にあった場合に弁償する、といったことも想定しています(実際には、特にJoe’s SSL市場で販売されているような証明書では、そのような犯罪は生じていません)。したがって、無償でSSL証明書を発行するとしても、そうしたリスクを背負わなければならないため、発行する認証局としてはコストがかかります。

 
 

ただ、そうしたことを理由に、証明書を高価な値段で提供している認証局が多いのも事実です。ブランド価値を高めて、価格が値崩れしないようにして利益を確保しているといっても、過言ではないと思います。Joe’s SSL市場は、各種のSSL証明書を低価格で販売する草分け的存在で、当初から、そうした認証局の営業の方から、「そんなに安く売らないでください」とよく言われていました。

 

今回の調査の結果、SSL証明書の中でも、ドメイン認証という審査を経て発行されるサービスのみが該当することがわかりました。申請者が正当なサイトの所有者であることを確認する手順によって、証明書は以下の3種類にわ分類されます。

 

1. whois情報(ドメインの所有者の情報が自己申告で記載されたもの)の内容が正しいことを前提に、そこに記載されたメールアドレスに、メールで申請が実際に行われたかを確認するドメイン認証の証明書
2. 帝国データバンクなどに記載された企業データベースに記載された電話番号に電話して、証明書の発行の申請が実際に行われたかを確認する実在認証の証明書
3. 実在認証の中で最も厳しい審査を行い、URLが緑で表示されるようにするEV証明書

 

実在認証では、帝国データバンクまたはNTTの電話帳などの別情報を参照して、電話をかけて申請があったかどうかを確認する

ドメイン認証よりは実在認証、実在認証よりはEV証明書の方がサービス価格が高くなっています。シマンテック(旧ベリサイン)、セコム、サイバートラストの3ブランドは、実在認証もしくはEVの証明書しか提供していません。逆に、グローバルサイン、ジオトラスト、Comodo、Thawteは、ドメイン認証と実在認証の両方を販売しています。

 

やはり、ドメイン認証の証明書の発行枚数の多い、グローバルサイン、ジオトラスト、Comodoには少なからず影響があるものと思われます。逆に、ベリサインやサイバートラストなど実在認証の証明書を提供しているところは、証明書の利用者が多くなり、それだけ使われるようになるので、その中で実在認証を利用したいと考える利用者も含まれているので、むしろ追い風とみているかもしれません。

 

また、ドメイン認証の証明書でも、自社製品について、それなりのブランド力があるのだから、無償配布が行われても大丈夫であるとみているかもしれません。

URLがグリーンになるEV証明書

 

この中で、グローバルサインは、ドメイン認証(クイック認証SSL)と実在認証(企業認証SSL)を審査の違いだけで同じルートの証明書を提供しているので、何らかの対応がなされる可能性があります。もちろん、シールをクリックすると、その企業名が表示されますが、そうしたことに気が付かないサイト訪問者がほとんどであるように思われます(シマンテックなら、ベリサインとジオトラストというように明確にわかれている)。また、グローバルサインのクイック認証SSLは、ドメイン認証の中でも最も高価で、しかも日本国内からの申請だけ価格を高くして販売しています(米国サイトから申請出来ないようになっている)。

 
 

Joe's SSL市場は、中立な立場で皆様を応援しています

他方、考えたくないシナリオとして、無償配布の証明書で、フィッシングなどの事故が多発し、信用を失い、やはり有償版でないとビジネスには向かないとか、そのような方向にすすむ可能性もありえます。これまで、SSL証明書を提供してきた認証局でも、セキュリティ的な問題が生じないよう(ブランド力を下げないよう)努力してきました。不特定多数から申請された証明書について、まったく問題なく証明書を発行できるものでしょうか。既存の認証局は、お手並み拝見、むしろ差別化ができるのでチャンスと見ているかもしれません。

 

Joe’s SSL市場では、皆様からのお問い合わせ・ご相談をお待ちしています。中立な立場から、助言しています。よろしくお願いします。

[3]SSL証明書のハッシュのSHA-2移行、セコム証明書がルートを一本化

今回のSHA-2移行は、2014年9月に発表されたGoogleのアナウンスが引き金となった

本ニュースレターの2014年9月号でもお伝えしましたが、脆弱性の問題から、SSL(サーバー)証明書を発行する際に必要なハッシュ関数(以下、ハッシュ)とよばれる仕組みが、SHA-1からSHA-2に移行されています。

 

https://joes.co.jp/2014/09/19/ssl-2/

 

SSL証明書は、そのサーバーが意図している送信先であることを訪問者(ブラウザ)に示すためのテキストで、インターネット上のオレオレ詐欺を防ぐ役割をもっています。
SSL証明書は、サーバーの所有者が認証局に自社の情報を提出し、認証局がその情報を認証することによって発行されます。ただ、実際には、ハッシュという多対1の関数によってオリジナルの情報を要約した上で、その認証の処理を行っています。

 

証明の印をもらっても、その印が誰のものかわからないと意味がない(偽造の印かもしれない)

 

SSL(サーバー)証明書は個々のサーバーに対して発行されますが、SSL証明書を発行する認証局もSSL証明書(ルート証明書)をもっています。そして、訪問者のブラウザは、メジャーな認証局のルート証明書をもっていて、各認証局が本物であるか否かを識別できます。認証局は、自ら発行する証明書を認識できるようにするため、PC、スマホ、ガラケーのブラウザ提供業者にはたらきかけ、ルート証明書をブラウザの中に入れてもらいます(そうしないと、悪意のある人が自分で認証局をでっちあげて、サーバーのSSL証明書を発行できてしまいます)。

 

今回のSHA-2移行は、ガラケー利用者に影響が出そうだ

 

原理的に、このハッシュをSHA-1からSHA-2に移行しても、それはハッシュの出力(=認証の入力)が異なるだけで、ルート証明書を変更しなくてもよい、ということがいえます。つまり、オリジナルの情報をSHA-1ではなくSHA-2で要約し、再度同じルート証明書でSSL証明書を発行すればよいことになります。実際、ベリサインやComodoでは、以前からSHA-1とSHA-2のいずれかを選択できるようになっていました。

 

もし、ルート証明書が変わる場合、ガラケーを利用している人が影響を受けます。古いガラケーだと、新しい証明書のルート証明書が入っていないため、ブラウザがそれを認識できません。PCやスマホであれば、ブラウザが適宜更新されるので、そのような不具合は生じません。1024ビットのSSL証明書をやめて、2048ビットに移行した2010年問題が勃発したころは、そのような問題が生じました。

 

セコムが、5年契約のSR2.0を廃止して、新ルートSR3.0に一本化する

 
しかし、このハッシュという仕組みはブラウザにも入っていて、認証された情報が正しいか否かを認識するためにも使われます。そして最大の難点は、従来のガラケーのブラウザの多くが、SHA-2に対応しておらず、ガラケーからSSL通信ができなくなることが想定できます。つまり、ガラケーからだと、カード決済や個人情報を入力できなくなります。

 

さすがに、携帯を次に買い替えるときはスマホの方が多いと思われますが、それでも生涯ガラケー一筋という方のために、ガラケーを提供する業者でも、今後SHA-2に対応したガラケーを提供するものと思われます。

 

Joe's SSL市場では、皆様のお越しをお待ちしています

 

他方、セコムでは、今回のSHA-2への移行にともなって、従来のSR2.0(5年契約)とSR3.0の2種類の証明書のラインナップをやめて、SR3.0に一本化するという発表をしています。ルート証明書が変わればガラケーでSSLに対応できなくなる場合も出てきますが、もともとSHA-2に対応しているガラケーが少ないので、影響は無視できると判断したものと思われます。お伝えしていますように、SHA-2への移行は、本質的にルート証明書の変更を必要としません。ルートの一本化によるビジネス上のメリットを優先したものと思われます。

 

今回のお話は、SSLや公開鍵に接したことがなかった方には、多少難しかったかもしれません。Joe’sのスタッフも、いつもこのような理屈っぽい話をしているわけではありません。ご質問がございましたら、遠慮なくJoe’s SSL市場までご相談ください。皆様のご利用をお待ちしています。

[3]Joe’s SSL市場でシマンテックのワイルドカードを国内ユーザーに販売開始

Joe's SSL市場のサイト

SSL証明書の役割に関しては、本ニューズレターでもこれまで何度かお伝えしてきました。サイトに入力されたカード番号や個人情報を暗号化するとともに、そのサイトが、訪問者が意図している相手であることをわかるようにしています。

 

個人情報やカード番号を入力するときには、SSLで暗号化する必要がある

 
 
 
 
 

「https://」と最初のスラッシュの間の文字列を、コモンネームまたはFQDN(Fully Qualified Domain Name)といい、

 

ドメイン名
www.ドメイン名
サブドメイン名.ドメイン名
www.サブドメイン名.ドメイン名

 

といった形式になります。

 
 

通常、SSL証明書は各コモンネームに対して発行されます。Comodoやグローバルサインでは、先頭にwwwが付くものと付かないもの(lms.acとwww.lms.acなど)を両方とも1枚の証明書で対応できるようになっています。しかし、それ以外の組み合わせ、たとえばlms.acとmath.lms.ac、math.lms.acとeng.lms.acというような場合は、どのSSL証明書でも、それぞれに対して証明書を発行する必要があります。

 

ネット上のオレオレ詐欺を防ぐことも、SSL証明書の重要な役割だ。

そこで、SSL証明書を発行してる各社ではワイルドカードといって、

 

lms.ac
www.lms.ac
math.lms.ac
math.lms.ac
eng.lms.ac

 

など、ドメイン名lms.acから作られるすべてのサブドメイン名に対応できるSSL証明書を提供してます。
これまで、Comodo、ジオトラスト、グローバルサイン、Thwartではワイルドカードを提供していましたが、シマンテック(旧ベリサイン)でも利用できるようになりました。

 

SSL証明書といえば、昔も今もベリサイン

 

費用が若干高くなりますが、サブドメインごとに発行するのと比較して安くなるのであれば、ワイルドカードのメリットが出てきます。Joe’sでは、税抜き300,000円で、10月22日(水)より販売します。シマンテックのSSL証明書を購入できるか否かは、代理店によって異なり、現在国内ではJoe’s SSL市場(joes-ssl.com)でのみ購入が可能です。

 

Joe’s SSL市場では、ご質問、ご相談などを受け付けています。電話、チャット、チケットでお気軽にお問い合わせいただければと思います。
皆様のお問い合わせをお待ちしています。

[3]SSL証明書、2010年問題以来の危機

Joe's SSL市場のサイト(https://www.joes-ssl.com)

 

9月5日に米国Googleから、11月にリリース予定の「Chrome 39」から、脆弱性が指摘されているハッシュ関数のSHA-1のサポートを段階的に廃止するという発表がありました。

 

SSLやセキュリティの話題には専門用語が多くなり逃げてしまいがちです。実際、webサイト制作や管理に携わる人でも正確に理解している人は少ないのではないでしょうか。

 

暗号化以外に、ネット上のオレオレ詐欺を防ぐことが、SSL証明書の重要な役割だ

 
 

インターネットでは、公開鍵暗号という暗号が用いられています。ECサイトで買い物をする場合、そのサイトはもしかしたらフィッシング(ネット上のオレオレ詐欺)かもしれません。また、本物とわかっていても、暗号化や復号化のためのパスワードをネット上に流すわけにもいきません。

 

公開鍵暗号では、ECサイトが暗号化の方法(公開鍵)を公開し、復号化の方法(秘密鍵)を秘密にして、サイト訪問者から暗号化されたメッセージを受けとります。しかし、それでもサイト訪問者から見ると、そのサイトが本物かどうか確信が持てない場合があります。そのために、サイト所有者はベリサインやグローバルサインといった認証局にSSL証明書というテキストを発行してもらい、それをサイトに掲げます。

 
 

認証局の(デジタル)署名

SSL証明書を発行する際に、サイト所有者が必要な情報と公開鍵を提出して、認証局が本人確認を行います。それらの情報に認証局が署名をしたものがSSL証明書です。署名といっても、ブラウザが認識でき、認証局以外がまねできない方法(デジタル署名)である必要があります。

 

認証局も、秘密鍵と公開鍵ををもっています。「サイト所有者情報と公開鍵」をダイジェストとよばれる短いテキストに要約(ハッシュ)して、それに公開鍵ではなく、秘密鍵を用いて暗号化します。そのハッシュの方法は公開されていて、ブラウザも利用できます。

 

サイト訪問者は、SSL証明書に関して2通りの方法でダイジェストを得て、両者が一致すれば署名が正しい、すなわちSSL証明書が正しものであるとみなします。
 

1. SSL証明書に記載されている「サイト所有者情報と公開鍵」をハッシュして、ダイジェストを得ます。
2. 認証局の公開鍵を用いて、署名からダイジェストを復元できます

 

暗号化して復号化しても、復号化して暗号化しても、もとのテキストが得られる

一般に、公開鍵で暗号化したものを秘密鍵で復号化しても、秘密鍵で暗号化したものを公開鍵で復号化しても、もとのメッセージが得られます。2.は、その性質を利用したものです。また、秘密鍵を知っている、すなわち認証局が署名したものであることが保証されます。

 

さらに、認証局そのものをでっちあげるというもっと手の込んだ犯罪もあるかもしれませんが、メジャーなブラウザには、メジャーなSSL証明書の認証局が登録されていて、それ以外の証明書は正当ではない、と認識するようになっていいます。

 

ブラウザは、SSL証明書から2通りの方法でダイジェストを計算して、一致すれば正しいとみなす

 

さて、話題のSHA-1ですが、これはハッシュのアルゴリズム(ハッシュ関数)です。その性質を利用して、認証局の秘密鍵を知らなくても認証局になりすまして署名する(SSL証明書を発行する)ことが可能であるかもしれない、という危惧から、今回のSHA-1のサポート廃止という通達がなされています。

 

SHA-1(160ビットのダイジェストを生成)にかわるものは、SHA-2(256ビットのダイジェストを生成)です。SHA-2を格納していないブラウザは、ほぼ皆無です。逆に、SHA-1で発行されたSSL証明書はブラウザの方でSHA-1に対応していなければ利用できなくなります。

 

Google Chroneが、先陣を切って、SHA-1の段階的廃止を発表した

11月に正式版が公開されるChrome 39では、2017年1月1日以降までの証明書でSHA-1を使っている場合、「セキュアだがマイナーなエラーあり」と認識され、URLに表示されるHTTPSの鍵のアイコンに黄色い三角マークが付くようになります。

 

年末に安定版となるChrome 40では、2016年の6月1日から12月31日までの証明書でSHA-1を使っている場合にそのような表示がなされる他、2017年1月1日以降までの証明書でSHA-1を使っている場合は「安全性が欠如している」と認識され、鍵アイコンが表示されなくなるということです。

 
 
2015年に公開のChrome 41では、2016年1月1日から同年12月31日の間に失効する証明書でSHA-1を使っている場合「セキュアだがマイナーなエラーあり」と認識され、さらに2017年1月1日以降に失効する証明書でSHA-1を使っている場合は「安全性が欠如している」と認識され、鍵マークに赤いバツ印が付いてhttpsの文字の上に取り消し線が引かれる、ということです。

 

Joe’s SSL市場では、9月16日発行分から、全ブランドでSHA-2で発行しています。また、SHA-1で発行済の証明書をご利用の場合、再発行に応じています。ご相談があれば、Joe’s SSL市場にお気軽にご相談ください。

[2]SSL証明書の設置で検索順位もアップする?

どんなインターネットビジネスでも、検索で上位に表示されることをめざすのがふつうだ

 

「機内モードにすると、スマホの充電が早くなる」とか、世の中には、実証はできないが、経験上正しいとされることはたくさんあります。たとえば、サイトをSSLにすると、Googleがクロールするのに安全だから検索順位が上がる、というのもその類のものだったように思われます。

 

最近、Googleから、SSL通信による暗号化に対応するWebサイトを検索順位で上位にするという発表がありました。
http://googlewebmastercentral-ja.blogspot.jp/2014/08/https-as-ranking-signal.html
検索順位は、ページ単位で決まりますので、究極的には、全ページをセキュアにすればよいということになります。

 
 

SSL証明書の主な機能は、インターネットのオレオレ詐欺を防ぐことであるといえる

 
 

ところで、「SSL証明書、私も使っています」という方で、共用のSSL証明書(Joe’sでも提供しています)で安心されている方が多いように思われます。SSL証明書が専用、共用というのと、レンタルサーバーが専用、共用というのとはまったく別の概念です。専用のSSL証明書は、独自ドメインを持っていれば、

 

ttps://www.独自ドメイン
https://独自ドメイン

 

のURLになります。独自ドメインを取得する以外に、SSL証明書を購入する必要があります。

 

 

SSL証明書をクリックすれば、そのサイトの所有者が表示される

 
 

これに対して、共用のSSL証明書は、

 

https://レンタルサーバーのサーバー名/~レンタルサーバーのユーザ名

のようなURLになります。

 

通常は、無料で利用できますが、SSL証明書の主な機能である、

1. 暗号化
2. 実在証明

のうち、実在証明の機能が使えません。

 

共用SSL証明書と専用SSL証明書では、サイトの安心感がまるでちがう

 

暗号化は、SSLに備わっている機能で、認証局(ベリサインやグローバルサインなど)から証明書を購入しなくても、実現されます。これに対して、実在証明とは、サイト訪問者に、そのサイトが意図している送信相手であることを、証明するものです。たとえば、Joe’sでないのに、私はJoe’sであると偽ってサイトを作成してビジネスを行うことは、原理的に可能です。しかし、ブラウザでそのSSL証明書をみれば、そのサイトがJoe’sによって運営されているかどうかわかります。インターネットでのオレオレ詐欺を含むことが目的で、これがないと知らない人にカード番号を教えてしまう、ということにもなりかねません。

 

国内最大級のSSL証明書の総合格安販売サイト、Joe's SSL市場

 

また、仮に共用のSSLを仮に全ページに設置すると、独自ドメインの意味がなくなります。さらに、100%証明されたことではないかもしれませんが、

 

https://独自ドメイン

ではなく

 

https://レンタルサーバーのサーバー名/~レンタルサーバーのユーザ名

 

をおくことによって、SEO的に不利になるかもしれません。また、カード決済が必要なサイト、特にECサイトでは専用のSSL証明書の設置が必須です。

 

Joe’s SSL市場では、2008年9月のサービス開始から、すでに6年もの間SSL証明書総合格安販売サイトとして、業界をけん引してきました。また、Joe’sの共用サーバーでは、月額1,500円でも専用のSSL証明書が設置でき、Joe’s SSL市場で購入した場合、インストールも無償です。レンタルサーバー他社でも、専用のSSL証明書が設置できるプランは、月額5,000円以上の業者が多いことを考えてみても、Joe’sではSSL証明書の設置を奨励していることがわかります。

皆さんも、サイトをセキュアにするだけでなく、検索順位をあげるという意味でも、SSL証明書を設置されてみてはいかがでしょうか。Joe’s SSL市場では、皆様からのご相談、お問い合わせをお待ちしてます。

[4]IPアドレスなしで、専用SSL証明書が設置可能なレンタルサーバー

Joe’sニューズレター5月号で、IPアドレスなしでセキュアな通信手順であるSSL(secure socket layer)が動作する仕組みについてお伝えしました。

Joe's SSL市場 (joes-ssl.com)

 

https://joes.co.jp/2014/05/21/windows-xp/

 

本来、SSLはIPアドレスを別途用意しないと機能しないものですが、拡張機能であるSNI(Server Name Indication)を用いれば、バーチャルホストのように、同一IPアドレスで複数のセキュアサイト(それぞれが専用のSSL証明書をもつ)を設置できます。これは、1枚の証明書を複数のバーチャルホストが共有するいわゆる共用SSLとは根本的に異なります。

 

共用SSL証明書ではなぜ不十分であるかに関して、本紙でも以前にお伝えしたことがあります。

 

https://joes.co.jp/2013/12/24/kyouyoussl/

 

共用SSL証明書では、ネット上のオレオレ詐欺は防げない

一言で言えば、それば利用しているレンタルサーバーがどの会社であるかを証明するものであって、そのサーバーを利用している各サイトがどの会社の所有であるかを証明するものではない、つまりネット上のオレオレ詐欺がおこる危険を回避するものではない、ということです。
 
さて、今回のIPアドレスなしで専用SSL証明書が設置できる機能は、Joe’sの専用サーバー、共用サーバーで利用しているcPanelというコントロールパネルの最新バージョンでご提供できるようになりました。SNIは原理的に新しいものではなく、たとえば、ご自身でルート権限でサーバーを管理されている方であれば、ご自身で設置可能です。

 

通常のSSLのプロトコルでは、固有のIPアドレスが必要となる

 
 

SNIの機能は、クライアント(サイト訪問者)側のOSとブラウザによって、動作しない場合があります。特に、Windows XPのパソコンからInternet ExplorerでSNIで設置されたSSL証明書を読みに行くと、エラーになります。2014年3月でWindows XPのサポートが終了したこともあって、SNIが機能しないパソコンは現在ではかなり減少してきているものと思われます。

 
 

今回のサービス提供は、少なからず、インパクトがあるものと思われます。

 

  1. 他社レンタルサーバーでは、IPアドレスがないと専用IPアドレスを設置できず、専用IPアドレスが使えるサーバーは、月額5,000円以上するサービス(レンタルサーバー大手)もある
  2. IPV4のIPアドレスが枯渇している今日、IPアドレスのコストが高くなっている

 

Joe'sのコンパネcPanel

現在、Joe’s SSL市場SSL証明書だけを購入されて、他社レンタルサーバーをご利用の方は、是非Joe’sの専用、共用サーバーをご利用いただければ、と思います。Joe’s SSL市場で購入された場合、インストール代金が無料ですから、SNIを利用してIPアドレス利用料(年間3,000円+消費税)がかからない場合、純粋に、SSL証明書購入費(Joe’s SSL市場であれば超格安)にサーバー利用料金を加えた金額になります。

 

Joe'sでは、共用サーバー契約者がIPアドレスなしで、自分の権限でSSL証明書を設置できる

 

共用サーバーは、1サイトの契約の場合は月額1,500円+消費税ですから、SSL証明書+共用サーバーでは、国内で最も安いサービスになっています。
 
また、インストールをJoe’sのサポートに依頼しなくても、共用サーバーの契約でも、ご自分でコントロールパネルからSSL証明書が設置できます。これは、非常に画期的なことです。
 
是非とも、お試しいただきますよう、皆様のお越しをお待ちしています。

[4]Windows XPのサポート終了で、SSL用のIPアドレスが不要になる

SSL証明書は、それに対応する専用のIPアドレスがないと動作しない、ということはよく知られています。ただ、これはSSLのプロトコルの仕組みによるものでいかんともしがたい、ということは知られています。
 
そのため、同じレンタルサーバーでも、カード決済を設置するために、独自のIPアドレスが利用可能なプランでないといけなかったり、専用サーバーVPSでも2個目のSSL証明書のために、IPアドレスをもう1個注文する必要がありました。
 

SSLプロトコルのシェイクハンドは、人間の握手ほど簡単ではない。

そもそも、SSLプロトコルでは、

  • サーバーが、SSL証明書をクライアントに送信する
  • クライアントが、共通鍵を生成する。
  • クライアントが、SSL証明書に含まれる公開鍵を用いて共通鍵を暗号化する
  • クライアントが、暗号化された共通鍵を、サーバーに送信する
  • というプロセスで、共通鍵が共有されます(ハンドシェイク)。その後、暗号化通信のなかで、クライアントがバーチャルホストのドメイン名をhttps://…で指定することができます。
     

    SSL証明書は、SNIの拡張機能があってもなくても、サーバーとブラウザの要件さえ整えば動作する。

    しかし、バーチャルホストを適用するケースを考えると、IPアドレスが1個しかないので、サーバーがSSL証明書をクライアントに渡す前に、どのバーチャルホストであるかを、平文(暗号化されないテキスト)で指定する必要があります。そのようなSSLの拡張プロトコルは、2003年にSNI(Server Name Indication)という名前で考案されていました。
     
    そして、Apache 2.2.12(2009年)以降からこの機能が利用できるようになり、1個のIPアドレスで複数のSSL証明書をおくことができるようになりました。
     
    サーバー側では、

  • Apacheのバージョンが2.2.12以降
  • OpenSSLのバージョンが0.9.8f以降
  • OpenSSLでSNIを有効にしてビルドし、その上でApacheをビルドする
  • という条件が具備されていることが必要です。ただ、これら条件は、サーバーの設定を変更するだけですから、それ程大きな問題ではないと思われます。
     

    OpenSSLの脆弱性の対応で、SNIが動作するバージョンにはなっているはずだ。

    一番大きいのは、クライアント(ブラウザ)側の要件です。主要なブラザでの対応状況を見ると、下記のようになっており、Windows XP + Internet Exploreの組み合わせで、SNIが機能しないことがわかります。
     
     
     
    OS/ブラウザの対応状況
    Windows XP/Internet Explorer が対応しない、Mozilla Firefox 2.0 以降か、Google Chrome 6以降なら対応
    Windows Vista 以降/Internet Explorer 7以降、Mozilla Firefox 2.0 以降、Google Chromeが対応
    Mac OS X 10.5.6 以降/Safari 3.0 以降が対応
    iPhone・iPod touch/iOS 4.0以降のSafariが対応
    Android/Android 3.0 以降のAndroidブラウザが対応
     
    この表からわかるように、Winodws XPのサポートの有効期限が切れたことがきっかけで、IPアドレスを増やさずにSSL証明書を設置できるということが、現実味をおびてきました。
     

    SSLのプロトコルでは、ブラウザによって動作するしないということがおこりうる。

    Joe’sでは、共用サーバーでも一部のサーバーは既にSNIの機能が利用可能です。VPS等、ご自身でroot権限を管理している場合も実現可能です。是非トライしてみてください。
     
    SNIの機能について、ご質問などございましたら、Joe’s SSL市場で伺います。お気軽にご相談下さい。

    [1]OpenSSL脆弱性問題、あなたの会社のセキュリティは大丈夫?

    SSLプロトコルにおけるハンドシェイク

    2014年4月7日に、OpenSSLという、暗号化を行うソフトウェアの脆弱性に問題があることが発表され、セキュリティ関係者はお花見どころではなかったと思われます。
    http://www.ipa.go.jp/security/ciadr/vul/20140408-openssl.html

     

    そもそも、SSL (Secure Socket Layer)とは、米国Netscape社が開発した暗号化のための通信手順を指します。Joe’s SSL市場で販売されているようなSSL証明書を連想されるもいらっしゃると思います。そうした商用のSSL証明書は、OpenSSLで動作するように、フォーマットが決められています。つまり、SSL通信を行うためのデファクトで、オープンソースであっても、商用で普通に利用されています。

     

    SSLプロトコルにおけるハートビート


    脆弱性というのは、OpenSSLの根幹部分ではなく、ハートビート拡張という機能についてで、
    ・OpenSSL 1.0.1 から 1.0.1f
    ・OpenSSL 1.0.2-beta から 1.0.2-beta
    の範囲のバージョンに脆弱性があることがわかりました。

     
    SSL通信では、公開鍵暗号と共通鍵暗号の両方が使われます。最初は、サーバーとブラウザで暗号化復号化のための手順(鍵)を共有していないので、ブラウザがサーバーの公開鍵から共通鍵を生成してサーバーに渡します。次に、その共通鍵を利用して、実際に送信する情報の暗号化を行います(後者の方がより高速です)。最初の段階(ハンドシェイク)では、サーバーが意図している送信先かどうかを、ブラウザがチェックします(フィッシングを防ぐ)。そのために、SSL証明書が必要です。ただ、ハンドシェイクはサーバーへの負荷が大きく、送信が終わってもある一定期間接続を有効にしておく必要があります。
     

    秘密鍵が盗まれれば、なりすまし(ネット上のおれおれ詐欺)のサイトがつくられる

    ハートビートとは、実際の通信がない状態でも、一定時間ごとにパケットを送信して接続していることを伝える手順を意味します。その際に、サーバーは「了解しました」と返信します。今回発見された脆弱性を突けば、サーバー内のメモリの隣接する領域(64キロバイト)の内容(これを繰り返せば任意の大きさの領域)までも、ブラウザが読めるということです。
     
    その脆弱性を修正したバージョン
    ・OpenSSL  1.0.1g
    にアップデートするという対策をされた方も多いかと思います。しかしそれでも、それまでにその脆弱性を突かれて、ウェブサーバー内にあった顧客のパスワードやクレジットカード番号などの情報がすでに読まれる可能性はあります。実際、三菱ニコスUFJの個人情報894名分が、この脆弱性を突かれて流出したという報道があります。
     
    ただ、OpenSSL 1.0.1は、2013年にリリースされてまだ1年程度しか経過していません。また、CentOS 5がまだサポートの有効期限内であったために、OpenSSL 1.0.1を採用したCentOS 6の利用は20%未満、という見方もあります。実際、Joe’sや他社レンタルサーバーでも、OpenSSLを緊急でアップデートしたのは、共用サーバーでも全体の10~15%程度であったとされています。
     

    Joe'S SSL市場: セキュリティについて、ご相談をお待ちしています

    ところで、読者の方々で特に気になるのは、SSL証明書の問題かと思われます。Joe’s SSL市場でも、もちろんこの問題を検討しています。ハンドシェイクで利用される公開鍵暗号では、秘密鍵をメモリ内において、ブラウザから送信された内容を復号します。もし、秘密鍵が何であるかがわかれば、そのサーバーに送信されたすべての内容が盗聴されます。
     

    さらに、SSL証明書を発行したサーバーであるというなりすましができます。秘密鍵があれば、本来のサーバーにかわってハンドシェイクができるからです。そして、サーバーの秘密鍵を変えれば、SSL証明書を再発行する必要が生じます。
     
    問題は、2048ビット(256バイト)の秘密鍵が、メモリのダンプ情報からわかるかどうかということです。シマンテック社(旧ベリサイン)は、メモリ上にある一般データと比較して、秘密鍵を見いだすのは理論上可能だが困難である、という見解をしています。
    http://internet.watch.impress.co.jp/docs/news/20140416_644735.html
     
    ただ、何らかの検証実験を行ったわけではなく、安全性が証明されたわけではなく、シマンテックも当事者であるので、安全サイドで判断したほうが賢明のように思われます。
    Joe’s SSL市場では、今回のOpenSSLの脆弱性問題で、秘密鍵の変更にともなって
    SSL証明書を再発行する必要が生じた場合には、無償で対応しています。お気軽にご相談下さい。

    [4]ベリサインの楕円曲線暗号のSSL証明書、ぜひお試しを

    ECCで発行されたベリサイン証明書(https://kmonos.jp/)


    ベリサイン証明書には、セキュア・サーバーID(セキュアサイト)とグローバルサーバーID(セキュアサイトプロ)という2種類の製品があります。後者には、SGC機能と言って、ブラウザの暗号化強度が低くても高める機能がありました。しかし、その必要性があまりなくなってきたためか、Joe’s SSL市場でも、グローバルサーバーIDは発行枚数が減少する傾向にありました。
     

    最近グローバルサーバーIDでは、楕円曲線暗号(Elliptic Curve Cryptography)を用いた証明書が利用できるようになりました。現状では、ほとんどの場合RSA暗号が用いられています。通常のSSL証明書で用いられているRSA暗号もこのECCも、公開鍵暗号といって、暗号化の方法を公開しておき、その逆の演算である復号化(もとの情報に戻す)の方法を秘密にします。
     

    楕円曲線上の2点P,Qを伸ばした交点Rを、x軸に関して折り曲げた点R'を演算結果とする群演算が定義される

    RSAは、素因数分解の難しさを安全性の根拠にしています。7 x 13 = 91の計算はすぐにできても、91を素因数分解してみろと言われると、なかなかできないでしょう。2個の素数が1024ビットなど非常に大きくなれば、その計算時間の差が非常に大きくなります(一方向性関数)。通常のSSL証明書では、2個の素数を2048ビットで表します(秘密鍵とよばれます)。
     

    このRSAと対極にあるのが、離散対数問題の難しさを安全性の根拠にした方式です。たとえば、1,2,3,4の4数の間で、2, 2*2=4, 2*2*2=3, 2*2*2*2=1というように、2を何回かかけて5で割ると、1,2,3,4のすべてを行き渡ります。離散対数問題は、たとえば、この2を何回かけて5で割ったら余りが3になりますか?(答え 3) といった内容です。この集合の要素数が大きければ、計算が難しくなります(べき乗の計算は容易だが、その逆である離散対数を求めることが困難な一方向性関数)。そして、この離散対数問題で、楕円曲線の群演算を利用したものが楕円曲線暗号とよばれます。大学院などで数学を専攻していて、しかも整数論や代数幾何などの分野を専門としている人でないと理解できないぐらい、数学的に高度な話です。

    公開鍵と共通鍵


     

    ECCでもRSAでも、鍵の長さが短ければ、計算機をフル回転させれば、素因数分解や離散対数問題の答えが解かれてしまいます。そこで鍵をある程度長くする必要があります。ただ、ECCの場合は楕円曲線を利用しているので離散対数問題を解くことが難しく、鍵の長さがある程度短くても安全であるとされています。また、暗号化に必要な計算時間はこの鍵の長さが短ければ短いほど高速で、ECCの方が計算の効率がよく、システムが安定するということが言えます。

    Joe'sでは、Moodleを利用して社内研修を行っている


     

    日本ベリサインのサイトに詳しいことが記載されています。
     

    http://www.symantec.com/ja/jp/page.jsp?id=ssl-ecc-dsa-encryption
     

    送信すべき情報の暗号化は、実際には共通鍵暗号と言って、もっとシンプルで高速な暗号が利用されます。RSAやECCといった公開鍵暗号は、その通信に先立ち、共通鍵暗号の鍵を共有する(通信を確立する)ために用いられます。したがって、暗号化の処理が効率であると言っても、その範囲でしか有効でない、といえます。その意味で、グローバルサーバーIDを使ってみて、さほど大きな差異を感じなかったとおっしゃる方がいるかもしれません。もう一つ、IE6やIOS6など、古いブラウザでは動作しません(時間が解決するものと思われます)。

    Joe's SSL市場(https://www.joes-ssl.com)


     

    https://www.verisign.co.jp/ssl/about/client-ecc-dsa.html

     1 2 3 次へ