SSL証明書

9月号 [3] 徹底分析: グローバルサインは本当に安全か

DigiNotarのサイト(https://www.diginotar.nl)

2011年9月5日に、ComodoHackerと名乗る人物がグローバルサインの認証局にアクセスしたという声明文を発表したことにより、グローバルサインのサーバー証明書の発行が一時停止となりました。単なる嫌がらせやデマで声明が出されることもありますが、グローバルサインと同時に名前の上がったStarCom, DigiNotar では実際のアクセスが確認されました。

ルート認証局の秘密鍵(公開鍵暗号では、秘密鍵と公開鍵からなる)が漏洩した場合、それはビジネスの破綻につながる可能性が出てきます。
一般に、認証局の秘密鍵によって、サーバーで発行したCSR(Certificate Signing Request)に署名されたものが証明書になるので、秘密鍵が漏れることで認証局でない人が、認証局になりすまして証明書を発行できてしまうからです。

ComodoHackerとなのる人物が、Globalsignの不正アクセスをした声明文

ComodoHackerが不正にアクセスしたというDigiNotarでは、不正な認証局から不正な証明書(Google.comなど)が531枚発行され、その証明書を信じたインターネット利用者が実害にあっています。これに対処しインターネット利用者を保護するために、ブラウザ提供業者や携帯電話各社はブラウザからDigiNotarのルート証明書を外す措置を取りました。

GoogleのブラウザChromeで閲覧できる信頼されない発行元

DigiNotarは、日本ではまだ知名度は高くありませんが、オランダの認証局で、ヨーロッパでは広範に利用されています。グローバルサインの認証局はベルギーにあり、DigiNotarとも交流がありますので9月5日の事件以降、同じくヨーロッパで著名なComodo(認証局は英国)を加えて3社で対応を協議しているとのことです。

https://www.joes-ssl.com

現在グローバルサインからは、再三の監査を行ない安全性が確認できたので、証明書の発行を再開する旨の発表がありました。
Joe’s SSL市場(https://www.joes-ssl.com)は、客観的な正しい情報を皆様にご提供し安心してSSL証明書をご利用いただくことを最優先に考えています。次号以降、進展などがあれば引き続いてご紹介していきます。

 

8月号 [3] ベリサインのSSL証明書が、世界共通の仕様になった

SSL証明書には、ブラウザからウェブサイトのあるサーバーへ暗号化してファイルを送信する機能の他に、そのサーバーが本物(正当な受信者)であることを証明する機能があります。ネットワークでは、オレオレ詐欺に相当する犯罪(フィッシング)があり得えます。たとえば、偽装サイトで、クレジットカードの番号を入力してしまうといった状況です。

そのために、普通、ある認証局に依頼して本物のサイトであると認定してもらい、証明書(サーバー証明書)を発行してもらいます。しかし、悪意のあるサーバーが、証明書自体を偽造するという状況もありえます。そこで、その認証局はさらに上位の認証局から証明書をもらいます。このように上位の認証局をたどっていくと、どこかで最上位の認証局(ルート認証局)に到達します。その証明書(ルート証明書)がアクセスしたブラウザの中にあれば、最下位にあったサーバーの正当性が証明されたことになります。つまり、SSL証明書は有名なもので、ブラウザ開発各社が知っているものでないと、意味をなさないことになります。携帯の場合、ブラウザのアップグレードが難しいので、古い携帯と新しい証明書は、相性が悪いのが普通です。

Joe's SSL市場で取得したEV証明書

サーバー証明書を発行するのは、すぐ上位の認証局(中間認証局)ですが、あるブラウザとサーバー証明書が対応するか否かは、そのルート証明書がブラウザの中にあるか否かによって決まります。ベリサインの場合、クロスルートがある場合を除いて、認証局は3層です(いずれも米国に設置)。つまり、サーバーの上位に中間認証局が、そしてさらに上位にルート認証局があります。つまり、サーバー証明書、中間証明書、ルート証明書の3種類のSSL証明書があります。

並行輸入とよばれながらも安く提供した業者のおかげで、この水はかなり安くなった

ベリサインで発行されるSSL証明書で、ルート証明書は、以前から世界共通でした。したがって、特殊な状況を除いて、携帯サイトへの対応率も同じでした。さらに、2010年10月10日の仕様変更以降は、ベリサインで発行されるSSL証明書は、中間証明書も世界共通になっています。secure site (旧セキュアサーバーID)、secure site pro (旧グローバルサーバーID)ともに、クロスルートがあってもなくても、すべて共通(米国標準)です。

これは、ごく自然なことと思われます。ベリサインのSSL証明書は、米国のシマンティック社で発行されるので、権威があります。また、国内のベリサイン証明書を販売する業者は例外なくすべて、米国で発行するベリサイン証明書の再販業者ということにができます。

ところで、コントレックスという水(図)をご存知の方は多いと思います(昔から人気がありました)。以前は、正規代理店の権利を取得して、販売を独占している業者から購入する必要があり、かなり高価でした。しかし、どの購入ルートから購入しても本質的に同じ商品(キャップの色などを除いて)であることが知られるようになってからは、広く飲まれるようになりました。もしかしたら、それと同じ公式がベリサインのSSL証明書についてもあてはまるかもしれません。

Joe’sでは、ベリサインのSSL証明書に関しては、主力製品であることを踏まえて、発行の迅速さ、サポート、支払い条件(前払いか、後払いか)などについて、皆様に満足いただけるよう、最善の努力をしています。そして、ベリサインのSSL証明書を多くの方に使っていただけるよう、今後とも努力していく所存でございます。

7月号 [3] 複数年契約で、費用と手間を低減してみてはいかが: ジオトラスト、グローバルサイン、アルファSSLの契約が最長で5年または6年に

海外旅行に必要なパスポートは、5年より10年のものの方が圧倒的に多く発行されているということです。1年あたりの発行費用が安いと言うだけではなく、手続きの頻度が少ないので、人気があるということです。SSL証明書も、同じことが言えるのではないかと思います。2年契約の証明書の価格が1年契約の1.7倍程度、3年契約の証明書の価格が1年契約の2.4倍程度というように、年数が多いほど1年あたりの費用が安くなります。そればかりか、申請する側も、手続きの頻度が少なくなるので、楽になります。

 

 

ドメイン認証の証明書の場合、承認メールへの対応で証明書が発行されるので、それほど大きな手間にはならないですが、実在認証を行う証明書の場合、契約更新時の書類の提出が不要となるので、複数年の契約は申請する側としてみれば、ありがたいところです。グローバルサイン企業認証SSLも、今回有効期間が5年間となりましたので、皆様に喜んでいただけると思います。この他に、弊社が扱っている証明書のうち実在認証で5年間有効な証明書には、セコム証明書がございいます(セコム パスポート for Web SR2.0)。

6月号 [3] サイバートラストの携帯対応率は、1024ビットで99.99%、2048ビットで99.0%。営業の青木氏、ベリサイン追撃への思いを語る

サイバートラスト株式会社 青木雄一氏

6月初旬に、サイバートラスト株式会社(https://www.cybertrust.ne.jp/) 営業本部の青木雄一さんが、Joe’sを含む関西のIT企業を数社訪問されました。本社の地下にあるイタリアンレストランで、2010年問題への対応に関してお話を伺いました。

Joe’sニューズレターでも何度か取り上げているので詳細はお伝えしませんが、2010年問題とは、SSL証明書で使われている暗号(RSA1024ビット)を2010年末をもって2048ビットのものに移行しなければならないという問題です。 

青木さんはお話の中で以下の2点を強調されていました。

「1024ビット証明書に脆弱性が発見された場合の対策は、考えておかないといけません。サイバートラストでは万が一1024ビットRSA暗号に脆弱性が発見された場合、無償で2048ビットの証明書を発行し直すことを発表し、その為の受付業務も一部システム化しています。」

「2048ビットの証明書にすると、一部の携帯電話やスマートフォンで警告画面が表示されたり、ページが表示できなくなってしまいますので、お客様のECサイトの売上が落ちてしまうということはありえます。しかしサイバートラストの証明書の携帯電話対応率は、1024ビットで99.99%、2048ビットでも99.0%なので、安心してお使いいただけると思います。」

クロスルート (図をクリックすると拡大します)

ベリサイン社などでは、2048ビットに対応していない携帯端末をカバーするために「クロスルート方式」という方式を利用して1024ビットのルート証明書からサーバーの証明書に署名させています。この方式に対しては「安全性の視点から問題が残る」という考えを示されました。「2013年末で利用が出来なくなる可能性も否定出来ない」とサイバートラストは考えておられるとのことです。

Joe’sはベリサインに対してもサイバートラストに対しても中立です。SSL市場(https://www.joes-ssl.com)やレンタルサーバーのサイトで証明書を購入されるお客様が満足されることを最優先に考えています。そのためには多くの情報をお伝えすることが必要であると考え、今回のサイバートラストさんのお話を2010年問題に対する対処のひとつとしてお知らせさせていただきました。今後も様々な情報を積極的に読者の皆さんにお伝えしていきたいと考えています。

5月号[3] SSL証明書って、どうしてそんなに高いのですか

同じSSL証明書でも、取得までに手続きが複雑なもの(実在認証)と簡素なもの(ドメイン認証)があります。ベリサイン、セコム、サイバートラストの製品は前者、アルファトラストの製品は後者、ジオトラスト、グローバルサイン、コモドは両方の製品を提供しています。

このうち、ドメイン認証は、サイトがそのドメインの正当な所有者のものであることを証明するものです。しかしURLを偽装することは、例えば.htaccessを操作すれば、可能です。このタイプの証明書は認証局が証明書を発行する際に、ドメインのwhois情報に記載してあるメールアドレスに「あなたは証明書を申請しましたか」という確認のメールを送りますので、証明書の申請者がメール内のリンクをクリックし、それを認証局が受け取れば、申請者とドメインの所有者が一致していることの確認がとれたことになります。

しかし、これはメールアドレスに対して確認を行ったということを意味しており、whois情報に記載されている、企業名や住所まで正しいことを保証するものではありません。ドメイン取得の際にwhois情報に記載する内容は自己申告がベースですから、虚偽の内容を記載することは可能です。そこで、申請者の実在の情報まで確認するのが実在認証ということになります。この場合、申請者に書類の提出を依頼したり、電話で本人を確認するなど、人間による審査が必要です。

Joe’s SSL市場では、以前からドメイン認証のSSL証明書

  • グローバルサイン クイック認証SSL (定価 36,540円)
  • ジオトラスト Quick SSL Premium (定価 36,540円)
  • アルファSSLプラス (定価 14,700円)
について、発行までの経費と比較して、小売価格が高価であるという問題意識をもっていました。

こういう言い方をしてよいかわからないですが、元売り業者は、ある程度の利益を出すためには、価格がさがらないようなビジネス戦略を取らざるを得ません。Joe’sは、創業の2002年以来9年間、低価格のサーバー、低価格のSSL証明書(当初はコモドのみ)を扱ってきました。しかし個人事業主や中小企業のユーザ様から、「どうして他のSSL証明書はこんなに値段が高いのですか」とよくお問い合わせをいただきました。そこでJoe’sでは、ユーザ様の側に立って、どうしたら安く多様なSSL証明書を提供できるか検討を重ねて参りました。そして特に、大量に仕入れること、仕入れルートを最適化するなどの努力の結果、2008年10月にはJoe’s SSL市場
https://www.joes-ssl.com
ができました。
さらに、2011年4月にアルファSSLプラス、5月にはグローバルサイン クイック認証SSLの価格(改定前から国内最低価格)をさらに下げることに成功しました。以下が、新価格です。

  • アルファSSLプラス:  従来 11,500円/年 -> 1年8,400円、2年14,700円、3年21,000円
  • グローバルサインクイック認証SSL: 従来 1年17,850円、2年35,700円、3年53,550円 -> 1年17,850円、2年31,500円、3年45,150円

価格が安いというだけではなく、迅速な発行、正確なサポートを目指しています。皆様のお役に立てれば、と考えています。

4月号 [1] SSL証明書の申請って、面倒臭くないですか

URLがhttps://で始まっている、または、グリーンで表示されている場合、正当な当事者であることを示す証明書がサイトに備え付けられています(SSL通信という名前の手順なので、SSL証明書と言われます)。この証明書は、ベリサインやグローバルサインなどの信頼のできる認証機関が発行するもので、偽造できないテキストデータからなっています。SSL証明書の発行を申請するには、認証局に、申請者が該当サイトの所有者であることと、表示される会社の名称や住所が正しいことを示す証拠となるものを見せなければなりません。

認証局が、ドメインのwhois情報にあるメールアドレスに確認のメールを送り、申請者がURLをクリックという方法(ドメイン認証)があります。ただ、その場合、申請者がそのドメインの持ち主であることは保証されますが、会社名や住所などを偽って証明書を発行することもできてしまいます(whois情報が自己申告に基づくため)。

審査が厳しい証明書だと、DUNS番号(全世界の多くの企業、政府が、データベース上で企業を識別する手段として採用している、 世界標準の企業識別コード)に登録されていないと、本人確認のために、認証局が申請者に登記謄本の提出を依頼します。そして、記載されている電話番号、もしくはNTTの電話帳に記載されている電話番号に電話して本人確認を行い、そのような不正を防ぎます。NTTの電話帳に記載がない場合、その電話番号の請求書の提出が要求されます。

一般に、低価格の証明書では前者の手順で 即日、高価格の証明書では後者の手順で数日間で証明書が発行されます。ベリサイン、セコム、サイバートラストなどは、後者に属します。審査にコストがかかるのと、信用性が高いので、高価になります。

通常は、サイト所有者ではなく、サイト開発者が代行して申請することが多いようです。ここで、もし審査に時間がかかると、サイト所有者から何度も進捗を聞かれたり、発行先に連絡しても認証局から連絡がないとい言われるということを繰り返します。両者の間に入ると、時間やお金というよりは、気苦労でエネルギーを消費します。

そのため、Joe’sでは2011年3月28日から、ベリサイン、ジオトラスト、ComodoEVSSLの登記謄本に関しては、申請者(お客様)に依頼しないで、(実費も含めて)無料で代行して申請し、認証局に提出することになりました。結果的に、発行までの日数が短縮され、お客様の負担を和らげることができたものと自負しています。

3月号 [3] SSL証明書の2010年問題、ベリサインで大丈夫でしょうか

SSL市場はベイサインの認証を受けている(EV証明書)

SSL証明書には、サイトに入力情報を暗号化して送る機能の他に、そのサイトの所有者が正当であることを認識する機能があります。その様な機能が無い場合、外部の第三者がjoes-joes.netやjoes-virtual.jpのようなドメイン名を取得して、サーバー代金支払い窓口になったり、カード番号を盗むなどの不正を働く事が可能となります。これは、ネットワーク上におけるオレオレ詐欺に相当します。それを防ぐのが、SSL証明書です。http://ではなくhttps://で始まるURL(https://www.joes-ssl.com のようにグリーンで表示されるものもあります)を見たことがあるでしょう。このSSL証明書は、ベリサインやグローバルサインといった認証局に登記簿などを提出して発行してもらいます(ドメインのwhois情報だけで確認する場合もあります)。
ブラウザは、メジャーな認証局の情報は抑えていて、サイトの証明書が本物の認証局によって署名されたものかどうかチェックします(認証局をでっち上げる詐欺もあるからです)。認証局の情報が、ブラウザにないと、上のような表示がなされます。
新しい証明書であれば、古いブラウザにはまだその情報が入っていないかもしれません。その場合でもユーザがブラウザをバージョンアップする事で問題は解消されます。しかしながら、携帯サイトにおいては問題はそう単純ではありません。携帯電話に搭載されているブラウザは利用者側で簡単にはバージョンアップができないからです。そのため、SSL証明書は携帯サイトへの対応率がどの程度あるかということが重要になってきます。
2010年問題とは、米国政府から暗号の強度に関する通達で、特にRSAという公開鍵暗号は従来の1024ビットから2048ビットに強化すべしということになっています。忠実に守られると、1024ビットの証明書を主に販売していたベリサインは認証局のレベルからの変更が必要で、携帯サイトへの対応が難しくなります。ただ、交渉の結果、2013年までに2048ビットに変更すればよくなりました。ベリサインの3年物は、2012年1月からは2年物の1024ビットが、2013年1月からは2048ビットが廃止になります。しかし、携帯電話は買替えに、通常3-5年程度かかります。
ベリサインが対応できなくても、ご安心ください。Joe’s SSL市場は、以前からベリサインと並んで携帯サイトへの高い対応率を誇る(2048ビットも)サイバートラスト、セコムトラスト、この他グローバルサイン、ジオトラスト、コモド、アルファSSLの全部で7ブランドを揃えています。それも国内で最もお安く販売しています。コンサルティング的なご相談にも対応しています。

セコム証明書1年分が無料! (3月末までの申し込み)


Joe’s SSL市場レンタルサーバーのサイトで、セコムトラスト証明書(年間57750円)を、本年度無料(3月末までのお申し込み分, 先着30枚まで)で提供します。他社でセコムトラストをすでに利用していて、今回2年目以降になる場合にも適用されます。セコムトラストは原則5年契約ですが、単年度での解約も可能です。

セコム証明書が30,000円、サイバートラストが52,500円


SSL証明書のセコムトラスト、サイバートラストを、かなり安く提供させていただくことになりました(それぞれ、初年度の価格)。この価格は、業界でも初めてだと思います。弊社ではこれまでもべりサイン証明書を39,900円で提供してきました。

そもそも、SSL証明書の原価はさほど高くはないものです。弊社では、販路を分析し、また社内業務を合理化することによって、SSL証明書を安く大量に販売しています。詳細は、Joe’s SSL市場のサイトをご覧ください(https://www.joes-ssl.com/)。また、今月24日にプレスリリースとして発表しています

 前へ 1 2 3