なぜ、「鍵マークの確認」が必要なの？――「HTTPS通信」のメリットを理解しよう：セキュリティ、いまさら聞いてもいいですか？（3）（3/3 ページ）

» 2015年12月16日 05時00分公開

[増井敏克，＠IT]

前のページへ 1|2|3 　　　　　　

証明書の種類

サーバー証明書について少し調べてみたのですが、取得にかかる値段に大きな差があるのですね。年間数千円のものから10万円以上のものまであるようですが、何が違うのですか？

一般的に、信頼度の高い証明書ほど価格が高くなります。Webサイトの用途などに応じて使い分けが行われているのが実情です。

　もしあなたがWebサイトの管理者であれば、気になるのが証明書の価格でしょう。どの認証局を選ぶかだけでなく、発行される証明書の認証の種類によって、価格が変わってきます。

　認証の種類を大きく分けると、「ドメイン認証」「企業認証」「EV SSL」があります。ドメイン認証は、Webサイト管理者であれば個人でも取得することができます。一方、企業認証やEV SSLは個人では取得できません。また、Webサイトを運営している組織が実在することなどが確認できないと、発行されません。より信頼度の高い認証だといえるでしょう。

閲覧しているWebサイトで、どの種類の証明書が使われているのかを見分ける方法はあるのでしょうか？

EV SSL証明書については、ブラウザーのアドレスバーが緑色に変わります。他の二つは、証明書の内容で見分けることができます。

　最近は「フィッシング詐欺サイト」などでも、利用者をあざむくために、証明書を取得しているものが登場しています。従って、ただ鍵マークを確認しただけで、正規のサイトだと判断するのは危険です。証明書の内容を確認するようにしましょう。

　EV SSL証明書については、Webブラウザーのアドレスバーを見れば一目で判断できます（下図）。最近のWebブラウザーは、正規のサイトであれば「緑色」、フィッシングサイトの可能性があれば「黄色」、明らかにフィッシングサイトの場合には「赤色」といったように、表示を切り替えてくれるものもあります。

　ドメイン認証と企業認証は、鍵マークをクリックして表示される証明書情報の中の「サブジェクト」の内容で区別します。下図のように、「O=」という行が存在し、そこに会社名が書かれている場合は企業認証です。一方、このような行が存在しない、もしくはドメイン（例：www.atmarkit.co.jp）のみが書かれている場合は、ドメイン認証だと判断できます。

　また、フィッシング詐欺サイトでないことを確認するためには、「CN=」の行で表示されているドメインが、接続しようとしているWebサイトのドメインと同じか確認することも一つの方法です。