2025年5月27日

暗号化した先は信用できるの?(SSLの【認証】とは?)①

SSL

先日のコラムで、SSLの役割は通信の暗号化(盗聴や改ざんの防止)だけでなく、
サイト運営者の信頼性を確認する【認証】も含まれている、という記事を書きました。
「SSLは暗号化だけじゃない!」

個人情報やカード番号などのデータを十分な強度で暗号化して送信したとしても、
受け取り手(サイト運営者)はそれを復号して元のデータに戻せます。
もし、その受け取り手が悪意を持ってサイトを運営しているとしたら、、、
怖くなりますね。

それを防ぐSSLの機能をもっと深めてみましょう。

SSL証明書は、ひとつのサイトの場合でも、
無料で使えるものから10万円を超えるものまで幅があります。
これは主に【認証】にかかる手間の違いです。
【認証】とは、サイト運営者の信頼性を保証するSSLの機能です。

SSLは大雑把に分類すると、【認証】レベルに応じて3つに分けられます。




■ドメイン認証(DV:Domain Validation)
ドメインの存在を確認します。費用は、無料から数千円です。

■組織実在認証(OV:Organization Validation)
ドメインの所有者を書面レベルで確認します。費用は、数万円です。

■拡張認証(EV:Extended Validation)
ドメインの所有者を実在レベルで確認します。費用は、10万円程度です。



よく誤解されるのですが、
SSLの暗号強度については、どの認証方式でも同一です。
異なるのは、「このサイトの運営者は信用できるのか」という、
身元確認の機能なのです。


次回は、この3つの【認証】をもう少し踏み込んでご説明します。
また、サイトを運営する立場に立ってSSLを選択する際に、
これらをどう評価し、どう選択するのか、という視点でも考えてみます。



※ 「SSL」は正式には「TLS(Transport Layer Security)」と呼ばれますが、一般的な呼び名として「SSL」を使用しています。
※ 本コラムのイラストは、本文をAIに読ませて提案させたものをベースにしています。

この記事を書いた人
エンジ・ニア
Mr.エンジ・ニア

数字と調べることとマンガが大好きな魅惑のエンジニア。
メガネの奥にはシステム化への愛が宿っている。