暗号化した先は信用できるの？（SSLの【認証】とは？）①

先日のコラムで、SSLの役割は通信の暗号化（盗聴や改ざんの防止）だけでなく、
サイト運営者の信頼性を確認する【認証】も含まれている、という記事を書きました。
（「SSLは暗号化だけじゃない！」）

個人情報やカード番号などのデータを十分な強度で暗号化して送信したとしても、
受け取り手（サイト運営者）はそれを復号して元のデータに戻せます。
もし、その受け取り手が悪意を持ってサイトを運営しているとしたら、、、
怖くなりますね。

それを防ぐSSLの機能をもっと深めてみましょう。

SSL証明書は、ひとつのサイトの場合でも、
無料で使えるものから10万円を超えるものまで幅があります。
これは主に【認証】にかかる手間の違いです。
【認証】とは、サイト運営者の信頼性を保証するSSLの機能です。

SSLは大雑把に分類すると、【認証】レベルに応じて3つに分けられます。

---

■ドメイン認証（DV：Domain Validation）
ドメインの存在を確認します。費用は、無料から数千円です。

■組織実在認証（OV：Organization Validation）
ドメインの所有者を書面レベルで確認します。費用は、数万円です。

■拡張認証（EV：Extended Validation）
ドメインの所有者を実在レベルで確認します。費用は、10万円程度です。

---

よく誤解されるのですが、
SSLの暗号強度については、どの認証方式でも同一です。
異なるのは、「このサイトの運営者は信用できるのか」という、
身元確認の機能なのです。


次回は、この3つの【認証】をもう少し踏み込んでご説明します。
また、サイトを運営する立場に立ってSSLを選択する際に、
これらをどう評価し、どう選択するのか、という視点でも考えてみます。



※ 「SSL」は正式には「TLS（Transport Layer Security）」と呼ばれますが、一般的な呼び名として「SSL」を使用しています。
※ 本コラムのイラストは、本文をAIに読ませて提案させたものをベースにしています。