＜サーバー証明書はなぜ必要か？＞

今回のテーマは「サーバー証明書」です。

皆さん、今やインターネットのほとんどのサイトではサーバー証明書が利用されています。今更感もありますが、今回は「サーバー証明書」を利用する意味と効果についてご紹介をしていこうと思います。

 

はじめに、サーバー証明書とは何か下記のように覚えてください！

 

「インターネット通信を暗号化するために必須となる仕組み」

 

かなり無理やり一行にまとめますが、つまるところそういう事です(^^♪

そして世の中のWebサイトでサーバー証明書が使用されているどうかは、主に下記の方法で誰でも確認が可能です。

・アドレスバーに鍵🔓マークがあるかどうか？

or

・アドレスバーのアドレスが「https」となっているかどうか？

※その道の方は当たり前過ぎるので読み飛ばしてください。

 

もう少しサーバー証明書についてご紹介します。サーバー証明書とは「インターネット通信を暗号化するために必須となる仕組み」とご紹介しましたが、具体的にどのようなことができるのでしょうか？

ズバリ、主に以下の３つのことが可能となり、これがサーバー証明書の効果とも言えます。

①通信の内容を秘密にする　（機密性の担保）

→一番分かりやすい効果と言えます。例えば、クレジットカード番号などをインターネットで入力する際、その情報は他人に知られては困るので暗号化をすることで仮に通信が盗聴されても当事者以外には「通信は盗聴できたけど、暗号化されていて意味が分からない・・・」という状態にするわけです。

②通信の内容を改ざんされないようにする　（完全性の担保）

→少し分かりにくいかもしれませんが、クレジットカード番号の例でいえば自分のクレジットカード番号を入れたつもりが、何者かにその情報、つまりクレジットカード番号のデータを書き換えられていたら困りますよね？このように通信対象のデータが意図しない値に書き換えられたりした際に「あれ？想定しているデータじゃないな。もしかしてデータが改ざんされたのか？」と確認できるようにするのが②の役割です。

③通信先が正しいかどうか確認する　（真正性の担保）

→ここは一番の盲点かもしれませんが、①、②では実は重要なポイントが担保できていません。それは「通信相手は本当に安全な人か？会社か？」という点です。つまり、いくら①、②が担保されていてもそもそも通信相手が悪人であれば、その通信は安全ではないということです。③はそんなことが無いように、「通信先は確かに意図している通信先か」ということを担保する役割を担っています。

但し！！厳密には③で担保されるレベルは使用する証明書の種別により大きく変化し、レベルによっては「通信先は確かに意図している通信先か」は担保できないといっても過言ではありません。( ；∀；)

 

この点はまた別の回でご紹介できればと思いますので、今回はこのあたりで終了となります！

ありがとうございました！

 

(久しぶりのオフィス出社です。笑)