ともみらです!
今日のテーマは、『証明書って必要なの?』
自分の会社で「ホームページをつくろう」と思うんだけど、
素人だし、よくわからん・・
なんか「証明書」ってのが必要らしいんだけどさ・・
それは、安心と信頼を得るためだね!
それって必要なの?
できれば安くしたいなぁ~
お金をケチって痛い目をみるより、
キチンとした対応が絶対に必要だよ!
わかりやすく説明していこうね!
皆さん!
ITの世界は、とてつもなく広く深いものです。
それでも、昔に比べれば、IT がどんどん進化し、いろいろなことが簡単にできるようになりました。
誰でも簡単に、クラウドを利用すれば、WEB や データベース のサーバ がつくれるようになり、プログラミングをしなくても開発できるようにさえなってきています。
私は、20年以上の ITインフラエンジニアの経験 があり、今は、IT を利用して自社サービスを推進 する部門で仕事をしています。
しかし、今までの経験の中で、なにか「モヤモヤしている」ものがあります。
それは、学んだ知識が、本当に理解できているのか?
難しい専門用語を、何となく覚えた感じになってはいないか?
こういう「モヤモヤ」ってありませんか?
なんだっけなぁ~
もしも、人前での説明が、めちゃくちゃ曖昧になっているようなら、それほど理解していない方に当てはまるのではないでしょうか?
私のブログでは、「誰でも、楽しく、分かりやすい」をモットーにしています。
そして、何より、「自分自身が楽しく理解」したいのです!
ものすごく正確な情報というよりは、違った視点で、「少しゆる~い感じ」に面白く伝えることができたら良いなと思っています。
なんだぁ~これはぁ? ざっくりじゃないか~(プンプン)
というクレームだけは勘弁してください!(笑)
私は、分かりやすく理解するためには、「多少のざっくりさ」も必要だと思っています。
ITを分かりやすく!
ITを楽しく!
ITの世界に興味 を持った人達が、その扉の入り口の前であきらめず、すんなり入っていける一歩目のキッカケ になりたいと思っています!
勇気を出して入ってみよう!
その 入り口に入ることができた なら、そこからは、あなた自身がその道を極める努力もできる はずです!
今日も楽しく行きましょう!
現職は『 IT × 事業推進 = 事業の最大化 』の重要なミッションを担い、自社事業の推進部門 で奮闘中!
自虐ネタ好き の 板ばさみが似合う 笑顔が素敵な新米部長 を目指しています!
『 ともみらブログ 』を運営!
ブログテーマは『 人生を豊かに楽しく笑って生きる ! 』
①. 前向き思考で幸せ!『 ラクして! 楽しく! 効率よく!』
当たり前を捨てよう! 新しいキッカケづくりを応援するマインド情報を発信
②. IT をどんどん使って幸せ!『 IT をわかりやすく! 』
便利に使いこなそう!わかりやすく理解する IT 情報を発信
③. お金を増やして幸せ!『 夢は不労所得で生活する! 』
メキシコペソとリップルをこよなく愛す!自分体験の役立つ情報を発信
皆さんに『 有益で得する情報を発信すること 』で一緒に人生を楽しみましょう!
この情報が少しでも有益な情報になれれば幸いです!
違いが分かる人になる!(本日のつぶやき)
皆さん。
最初にお話しましたが、ITの分野って、ものすご~く広い と思いませんか?
名前もいっぱいあるし、良く分からんですよね?
例えば、
- システムエンジニアとプログラマーって違うの?
- インフラって何? 開発する人じゃないの?
- クラウドって何? どこにあるの?
- ユーザサポートってどんなことするの?
- AI と RPA って自動化すること?
- IPv4 と IPv6 でどう違うの?
- Java と Java Script って同じじゃないの?
- データーベースとデータウェアハウスって違うもの?
とかね。
細かいのであれば、もっといっぱいあり、とにかく種類も多く複雑です。
何を目指したらいいの? 何ができるの?
ということになっちゃいますよね。
まあ、
IT業界に限らず、何の業界でもそうでしょうが、
とにかく難しい・・
とにかく専門用語とかって、専門書に書かれていることを、そのまま話すことはできますが、大体の人は、
説明が?
え?ってなりませんか?
わかりずらいし、面白くないですよね?
私は、ずっと IT の世界で、いろいろな現場に行って仕事をしてきた経験がありますが、いつも難しそうな専門書を読んで理解することが「当たり前」の世界でした。
そこに大きな疑問を感じ、最初の入り口で諦めてしまう人が多いのでは?
と感じました。
難しそうな専門書を読んで、理解しているふうになっている・・
実際は、そんなに分かっていないんじゃ・・
そんな人はたくさんいると思います。
難しいことは理解しても、すぐに忘れてしまいます。
大きく丸めちゃって、楽しく理解していきましょう!
せっかく興味を持った「ITの扉の入り口」で諦めないために!
さて、早速、はじめていきましょう!
本日のテーマは、「証明書って必要なの?」
知っているようで、実は曖昧でよく知らない「ひとつのテーマ」だったので、「誰でも、楽しく、分かりやすい」をモットーに、皆さんにとって、有益な情報になれば幸いです!
証明書って必要なの?
今回は、「証明書」についてです!
証明書?
何それ?
そうなると思います。
正確には、「SSLサーバ証明書」 というものですね。
コムズカシイ話になってしまいそうですが、まずは、サラっと説明します。
これは、Webサイト(ホームページを管理している)の運営者の正当性を証明して発行する電子証明書 です。
ホームページを見ている利用者は、Webサイトの運営会社が実際に存在しているのかを確認できる ので信頼性があり、なりすましの被害も回避できます。
SSLサーバ証明書には、運営者に関する情報、証明書を発行した認証機関、暗号化に必要な鍵の情報などが含まれ、これらを利用して、盗聴、改ざん、なりすましを防止するのです。
利用者は、運営者がキチンとした業者であることを確認しつつ、暗号化された安全な仕組みを利用して、データのやり取りができる のですね。
どうですか?
ピンときませんよね?
そうだと思います。
大体の人であれば、
まあ、安全そうなんで、とりあえず証明書ってのを入れとけばOKだな!
ぐらいで終了です。
ものすごく簡単に言うと、「Webサイトの身分証」です。
あなたで言うと、身分証明書(運転免許証)みたいなものです。
自分を証明するもの
皆さんが、インターネットをする時、ブラウザを利用して、ホームページを開いて、探したいことを検索したりしていますよね?
Google Chrome、Internet Explorer、Firefox なんかを使っていると思います。
今回は、ブラウザについての話ではありませんので、ここでは、あまり深く考えずに、自分が使いやすいブラウザを使うと良いでしょう。
さて、本題に入りましょう!
証明書って何?
ということになりますが、
先ほど説明しましたが、皆さんがホームページを見るために利用しているブラウザと、あなたが見たいホームページ(管理しているサーバ)との間のデータの暗号化をする仕組み になります。
ITに詳しくない人だと、普通にインターネットをしている中で、その存在を気にする人は、ほとんどいないことでしょう。
IT分野にいる人でも、
あ~
暗号化するのに必要なんだよねぇ~
知っているふうな・・
危険だからねぇ~
ぐらいしか分からない人もいることでしょう。
証明書は、先ほども言いましたが、簡単に言うと、「Webサイトの身分証」になります。
ホームページのアドレスを入力する時、アドレスバーに「https://~」と、鍵マークが表示 されると思います。
例えば、検索サイトの Google であれば、
アドレスバーに「https://www.google.co.jp」って入力していると思います。
あなたのブラウザと、見たいホームページ(管理しているサーバ)の間のデータを暗号化するために必要 で、このおかげで、個人情報やクレジットカード情報などを暗号化して通信ができることで、盗聴や情報の改ざんを防ぐ役割がある のですね。
また、勘違いしてしまいそう ですが、実際には、そのホームページを管理しているサーバが暗号化されているのではなく、そこまでの経路(道)が暗号化されている ことに注意が必要です。
なので、実際には、その安全なホームページを訪問した後は、そのサービスの ID(ユーザ名)やパスワードを入力してログインすることで、さらに安全性を高めている ことでしょう。
安全かどうかを簡単に見分けるなら、
http の後ろに 「s」 がついているもの「https」は、キチンとしたホームページだということになりますし、httpでアクセスできてしまうホームページは、暗号化されていませんので、ちょっと注意が必要です。
自分を例にすると、運転免許のような身分証明書みたいなもんです。
Webサイト(見たいホームページ)が、あなただとすると、
証明書(SSLサーバ証明書)が、運転免許(身分証)のようなものです。
先ほど、皆さんが利用しているブラウザのお話をしましたよね?
アドレスバーのところに、鍵マーク がありますよね?
この 鍵マーク をクリックすると、
- この接続は保護されています
- 証明書(有効)
となっていることでしょう。
これは、そのホームページは、暗号化された安全な経路で守られていて、証明書が有効である「キチンとしたホームページ」です!
ということになります。
つまり、証明書は、あなたが見ているホームページが、安全であるということを保障するために必要 なのですね。
これが、無い場合、セキュリティが甘いし、そもそも怪しい業者のホームページかもしれません ので危険なのです。情報が盗まれてしまったりします。
こんなヤツらかもしれない・・
あなたが、ある時、
「身分が分かるものを提示しろ・・・」
職務質問っすね
と警察に言われているとして、
「俺はちゃんとしているから大丈夫だ!」
誰もが知ってる?
と言っても、それを証明する身分証明書がなかったらどうでしょう?
超あやしすぎるし、警察も信頼してくれないことでしょう。
こりゃ黒だな・・・
しかし、
過去には、証明書を発行している側にも問題 がありました。
Googleがシマンテックの証明書に対し、対応を要求 したことがあります。
この原因は、セキュリティに問題があるのがわかっていたにも関わらず、キチンと管理もせず、証明書を発行していた ということがあったからです。
Googleが知らない間に、勝手に発行されていれば怒られるのも当然でしょう。
そんなこともあって、Googleは、Symantecの認証局から発行されたSSL証明書をGoogle Chromeで「信頼しない」ようにすると言っているのですね。
なので、
これからは、証明書を発行して管理する側 も、証明書を購入する側 も、キチンとした証明書を利用しているホームページ でないと、利用者からは信頼されず、最終的に アクセスできなくなる ことになるのです。
お金を払って、証明書があるサイトであれば、キチンしていることが証明され、そして信頼されることで、それを利用している人が、安心して、個人情報だったり、クレジットカード情報だったりを入力できるのですね。
だから、証明書が必要 になるのですね!
どんな証明書が必要なの?自前は危険?
さて、証明書が必要なのは理解できましたよね?
でも、どんな証明書がいいの?
選ぶポイント しては、以下の2つ になります。
・信頼性(認証による会社や組織の法的実現性)
安全性
元となるデータを暗号化(別データ)して、それを送って、複合化(元に戻す)することです。
イメージは何となくつきますかね?
例えば、
家からお金を持ち出す時に、分からないように隠して(暗号化)
隠すというか・・
安全な道を利用して運んで(安全で守られた道)
安全な道ね・・
別の家に着いたら、そこでひろげるという感じです。(複合化)
まあ、捕まるでしょうね・・
そんな感じです。(全然違う?)
少し詳しく説明すると、
今度は、暗号アルゴリズム っていうものが出てきたね・・
ああ・・むずかしい
暗号アルゴリズム
- 暗号化の手順のこと
- 暗号化や復号化の処理には暗号アルゴリズムに応じた「鍵」が必要となり、その安全性(強度)や処理にかかる時間は異なる
暗号アルゴリズムの種類には、
以下に説明していますが、暗号アルゴリズム とは、暗号化の手順 のことであり、RSAは 公開鍵暗号方式 に用いられる暗号アルゴリズムであり、AESは 共通鍵暗号方式 に用いられる暗号アルゴリズムとなります。(暗号アルゴリズムの種類も複数ありますので、興味があれば調べてみましょう!)
では、それぞれの方式について、簡単に説明していきますね。
1.共通鍵暗号方式
- 暗号化と復号化の両方で 同じ鍵 を使う
- 処理が 高速
- 暗号化アルゴリズムとしては「DES」「RC4」「AES」
- 処理速度は高速だが、データをやり取りする人数が増えるにつれて、管理すべき鍵の数も増えてしまう
2.公開鍵暗号方式
3.ハイブリッド方式
- 1と2を組み合わせて利用(ハイブリット方式)
さっきのお金を運ぶ例ならば、
家の中に入る時に、「同じ鍵で入るのか」、「違う鍵で入るのか」みたいな感じです。
同じ鍵ならすぐに入れる でしょうが、違う鍵だと、どの鍵だっけ?と探している間に時
間が掛かる みたいなものですね。
暗号化の手順がそれぞれ違います ので、強度や処理時間が異なる ということですね。
「同じ?」「違う?」
鍵があるから安心できるのですね。
そもそも鍵がなかったり、簡単に鍵を開けられてしまうようであれば、まったく安心できませんよね。
信頼性
さて、暗号化による安全性 は理解できましたね。
では、次に 信頼性 を考えてみましょう。
証明書も種類がいくつかあり、認証のレベル というものがあります。
証明書の認証レベル
- ドメイン認証(認証レベル1)
- 企業認証(認証レベル2)
- EV認証(認証レベル3)
私の会社では、「GlobalSign」を利用していますが、説明がわかりやすいサイトを紹介しておきます。
当然ながら、レベルが上がるごとに、厳密な認証 ということになります。
認証レベルが上がるごとに、よりキチンとした会社や組織が存在しますという証明 となるのです。
しっかりした企業だね!
そして、レベルが上がれば、証明書を購入する金額も高く なります。
数万~数十万
大雑把に分けるとしたら、個人だったらドメイン認証、会社などの法人であれば企業認証か、EV認証 になるかと思います。
お金が掛かるならどうしようかなぁ~
何か無料で利用できるものもあるし・・・
そう考えるのが、正直者でしょう。
私もそう考えたことがありますので。
ただ、お金をケチって証明書を購入しない のは、信頼されない ので、結局は、いつの日か、アクセスできなくなってしまう ことでしょう。
私の会社では、Globalsign の証明書を利用 していますが、信頼性とは、簡単に言うと、そのホームページを管理している会社がちゃんと存在しているキチンとした会社なのかを証明できるかどうかということです。
簡単に言えば、
会社があるの? or ないの?
たったのこれだけです。
有名企業の「yahoo」や「google」であれば、誰もが知っていますよね。
でも、
似たような名前で「yohooo」や「goooglee」だったらどうでしょう?
このような 会社が証明書無しで、ホームページ運用 していたとして、
この商品を買ってください!
クレジットカード情報を入力してください!
ってなったら、入力しますか? 入力しませんよね?
怪しい会社だし、本当にあるの?ってなりますもの。
もしも、入力してしまうという人であれば、悪いことは言いませんので、今すぐに、お金を信頼できる人に預けて、自分では絶対に管理しないことをおススメします!
しかし、
ここで、ひとつ疑問 がありませんか?
私は、会社が超有名 であれば、暗号化は必要 だと思うのですがが、企業が存在しているかどうかを証明するのは、そこまで重要なのかなぁ? と思ったことがあります。
だって、誰もが知っている会社だから、当然、存在してるでしょ・・
そう思ったからです。
安全性という点 では、暗号化の技術自体はどの証明書を利用しても、ほぼ同じ技術 ではありますが、暗号化された安全な通信が必要 なので必要である ことはわかりました。
だったら、信頼性という点 では、企業が実際に存在 するかどうかは 認知度が高ければ必要が無い のではないだろうか?
なぜ?
このような考えを若い頃に感じたかというと、
証明書は、別に購入しなくても、無料で利用できる ものもありますし、自分で作成することができちゃったりする からです。
無料の証明書 であれば、有名なのは、「Let’s Encrypt」というのがありますし、AWSを利用して運用 しているなら、証明書については、無料のSSL証明書が利用 できます。
まあ無料といっても、AWSはそもそも会社で利用している時点で、すでに他のサーバを利用する契約をしているので、その契約の中で、証明書を無料で利用できるという点では、本当に無料?と言うと、ちょっと違うかもしれませんが、わざわざ、GlobalSign などから購入する必要がないからですね。ただし、認証レベルは、ドメイン認証(レベル1)になってしまいますが。
また、Let’s Encrypt などは、更新期間になると、自分で更新処理(コマンドを叩くだけですが)しないといけなかったと思います。
自分で作成できるという点 では、自己証明書(オレオレ証明書と言われている)というものもあります。
実は、これがちょっとやっかいで、勘違いしてしまう のですね。
自己証明書 とは、自分で、その証明書を認証する仕組みがつくれる のですね。
なんちゃって認証局 ですね。
勉強のために、証明機関(自分でつくる認証局)をつくって、自分で証明した証明書をインストールして勉強した人も多いことでしょう。
暗号化技術がほぼ同じで、証明書を自分でつくれるなら、高いお金を払って証明書を買わなくてもいいのでは?
そういう質問を、私も含めて質問してくる人がいることでしょう。
ベンダーさんなんかも、平気で提案してくるところもあったりします。
実際に、質問を受けた時に、説明に困った経験がある からです。
でも、良く考えてみてください。
確かに、暗号化技術は、ほぼ同じでも、さっきの警察官の職務質問と同じです。
私はちゃんとした人です(自分で自分を自画自賛!)
と言っても、
警察官に怪しいと思われちゃっているのですね。
もしかしたら、怪しい業者だと思われているかもしれないし、その可能性もあるからですね。
例えば、
あなたが住んでいる町で、あなたのことを良く知っている人達ならば、わざわざ身分証明書なんかを見せなくても信頼してくれることでしょう。
しかし、
他の遠くの県の人や、海外の人なんかに、自分は信頼されている人間ですと言っても、不審がられてしまいますよね?
つまり 身元をキチンと保証してくれる人がいないと、その人を信じることができない からです。
あなたが不審者だと思われるのと同様に、あなたが訪れたホームページがニセモノ で、ホンモノのホームページに「なりすまされている」ようなものです。
いつの間にか・・
町で評判の「ともみら」さんですが、他の町では、この人、本当に「ともみら」さん?
実は、「ともみら」さんではなく、よく似た「偽ともみら」さん(なりすまし)だったりする可能性があるのですね。
オレオレ詐欺みたいなものです。
オレだよ・・ばあちゃん・・
困ってるから、お金振り込んで欲しいんだぁ~
その時、ばあちゃんは、声が似てるので、お金を振り込んでしまうようなものです。
孫が困ってる・・
こういったことを防ぐために、
この身元を保証してくれるのが、「第三者認証局(認証局)」なのですね
こんな感じの所かな?
なんちゃって認証局ではありません。キチンとした認証局なのです。
私の会社の場合で言えば、GlobalSign が手続き してくれます。
認証局が認めてくれると、世界中の人が信頼してくれることになるのです。
その認証局自体が信頼があるからです。
そこが認めているなら大丈夫だろう・・という感じです。
キチンとした会社がやっているホームページで、信頼されているので、世界中の誰からも信頼され、個人情報やクレジットカード情報を入れても安心なのです。
お金を扱う業界(金融や証券)などは、特に企業情報がキチンと証明されている証明書を利用する必要があるので、EV証明書(レベル3)を利用していると超安心ですよね。
ここで、認証局の話が出てきたので、他の関連する証明書も2つほど押さえておきましょう。(ルート証明書、中間証明書)
参考
簡単に言うと、「認証局の信頼性を確認する」ためのものです。
先ほどまでは、運営しているホームページ側(管理しているサーバ)の話でしたが、こちらは、証明書を証明する認証局側の信頼性に利用する という点がポイントになります。
ただし、ここでは、ざっくり覚えておけばいいでしょう。
- ルート証明書:認証局によって発行され、その認証局が信用できるものであるかを調べるために利用する。主要な認証局のルート証明書は、ブラウザやOSに組み込まれていて、ホームページにアクセスする時に自動チェックが行われる。
- 中間証明書:認証局の信頼性を証明するために、別の認証機関から発行されるもの。認証機関同士の信頼性の証明は、大元の「ルート認証機関」を頂点とするツリー構造となり、中間証明書は、それらをつなぐ役割となる。
お金を払った証明書と、自分で認証した自前の証明書の違いと言う点では、安全性は、自己証明書でも可能ですが、信頼性は、自己証明書では疑わしいといことになります!
- 安全性(暗号化による情報の保護)WEBサーバ側と利用者側で暗号化/復号化を行うことにより、通信経路上での盗聴・改竄を防ぐ
- 信頼性(認証による会社や組織の法的実現性)通信相手が正しい保障。警告を表示することで、盗聴・改竄を防ぐ
なので、お金を払って証明書を利用しているのは、キチンとした会社が運営しているホームページだと証明してもらい、世界中の人達が安心して、情報をやりとりするためであり、安心と信頼を得るために必要だからということになるということですね。
また、自前では、結局は自分のところで管理していかなければならないので、購入するためのお金は削減できても、運用していく運用費が必要になりますし、暗号化はできても、信頼を得ることはできないでしょう。(社内限定のローカル内で利用するなら良いでしょうが、そもそも閉じた環境のローカル内で利用する意味が無いかもしれません)
まとめ
では、まとめていきましょう!
今日のテーマは、『証明書って必要なの?』
・安心と信頼を得るために、証明書は必要!
・第三者認証機関(認証局)が証明している有償の証明書を利用する!
・自前の自己証明書は、暗号化はできても、信頼を得ることはできない
・信頼性(認証による会社や組織の法的実現性)
安全性(暗号化による情報の保護)
- 安全な通信には、暗号化の仕組みが必要
- 暗号化(隠して)→ 安全な道で運ぶ(経路暗号化)→ 複合化(元に戻す)
- 暗号化や復号化の処理(暗号アルゴリズム)に応じた「鍵」が必要
- 鍵は3パターン「共通鍵暗号方式」「公開鍵暗号方式」「ハイブリット暗号方式」
信頼性(認証による会社や組織の法的実現性)
- 認証レベルは3段階 (ドメイン認証→企業認証→EV認証)
- 認証レベルが上がるほど、信頼性は高く、金額も高い
- 有償の証明書(認証局が証明)は信頼性が高いが、自己証明書(自ら証明)は信頼性は低い
- 安全性は、自己証明書でも対応可能だが、信頼性は、自己証明書では得られない
さて、いかがだったでしょうか?
お金を払って証明書を利用するのが必要だということをご理解いただけたでしょうか。
暗号化で安心
世界中の人達が安心して、データ情報をやりとりするため
会社があって信頼できる
キチンとした会社が運営しているホームページだと証明するため
2つの証明(安心と信頼)
安心と信頼を得るために必要なため
ということになります。
ざっくりとでも理解していただけたなら、最高です!
今回紹介した説明でも、わかりづらい説明もあったかと思います。
なるべくわかりやすいように説明してきたつもりですが、それでも多少は難しくなってしまうと反省しております。
しかし、ざっくりでも良い ので、まずは、ITの世界に興味を持ち、ITの扉の入り口に飛び込んでいける第一歩のキッカケ になっていただけたら嬉しいです。
今後も反響があれば、続けていきたいと思っていますので、心が折れる前に励ましのメッセージ などをいただけると嬉しいです・・・
私の過去ブログでも、IT 関係の記事を書いていますので、是非、遊びにきてくださいね!
皆さんの人生が、より豊かになりますように!
このブログ記事が、皆さんのお役に少しでも立てたなら幸いです!