はじめに
ご挨拶
この章では、本資料の目的と読み方をやさしくご説明します。ウェブブラウザのアドレスバーに表示される鍵(パドロック)アイコンを中心に、背後で動く技術や注意点を順を追って学べるように作りました。
本資料の目的
パドロックは「安全な接続」を示す重要なサインです。本資料では、鍵アイコンが何を意味するか、どのようにして安全な接続が確立されるのか、証明書の種類や暗号の仕組みまで分かりやすく解説します。専門用語は最小限にし、具体例で補足します。
想定読者
インターネットを安全に使いたい一般の方、ウェブサイトの管理や開発に携わる方、セキュリティの基本を押さえたい方に向けています。技術的な背景がなくても読み進められる内容にしています。
注意点
パドロックが表示されていても、そのサイトが完全に“安全”とは限りません。暗号化された通信が行われていることを示しますが、サイト運営者の信頼性や中身の正当性までは保証しません。必要な確認方法は本資料で詳しく説明します。
本資料の構成
以下の全6章で、基本的な意味、証明書の仕組み、接続確立の流れ、証明書の種類、暗号化の仕組みを順に解説します。段階的に理解を深められる構成です。
パドロックシンボルの基本的な意味
概要
ウェブブラウザのアドレスバーにあるパドロック(鍵)マークは、ブラウザとサイト間の通信が暗号化されていることを示します。多くの場合、HTTPSという仕組みとサイトが持つSSL/TLS証明書により成り立っています。
パドロックが示すこと
- 通信の暗号化:入力した情報(パスワードやカード番号など)が第三者に読み取られにくくなります。例として、ネットショップでクレジットカード番号を送る際に暗号化されます。
- 証明書の存在:サイトが証明書を持っていることを示します。証明書には発行者や有効期間、対象ドメインなどの情報が入ります。
パドロックが示さないこと
- サイトの信頼性の保証:パドロックがあっても、詐欺サイトやマルウェアが存在する場合があります。悪意ある運営者でもHTTPSを使うことが可能です。
- 内容の安全性:サイト上の表示情報やダウンロードファイルの安全性までは判断しません。
色や位置の違い
ブラウザごとに表示方法が異なります。場合によっては鍵の色や付随する文字列(会社名など)が表示されます。色だけで安全度を判断せず、ドメイン名や証明書の詳細を確認してください。
簡単な確認方法(ユーザー向け)
- パドロックをクリックして証明書情報を表示します。2. アドレスバーのドメイン名が正しいか確認します。3. 不審な点があれば個人情報を入力しないでください。
SSL/TLSセキュリティ証明書の仕組み
証明書の役割
SSL/TLS証明書は「このサイトは本物です」というデジタルな身分証明書です。ブラウザが受け取ると、相手が申告するドメイン名と証明書の情報が一致するか確認します。例えばネットショップなら、証明書で店の正当性を確認してからカード情報を送ります。
含まれる情報
証明書には公開鍵、ドメイン名、発行者(認証局:CA)、有効期限などが入ります。公開鍵は誰でも使えますが、秘密鍵はサーバー側だけが持ちます。
認証局(CA)と信頼の連鎖
認証局は証明書に署名して発行します。ブラウザやOSは信頼するCAのリストを持ち、署名が有効なら証明書を信頼します。中間証明書を介してルートCAまでたどる仕組みをチェーンと呼びます。
検証と失効
ブラウザは署名と有効期限を確認し、必要に応じてOCSPやCRLで失効状況を照会します。失効していれば接続を警告します。
実際の流れ(簡潔)
- サーバーが証明書を送付
- クライアントが署名・有効性を検証
- 検証後に安全な鍵交換が行われ、通信が暗号化されます
このようにSSL/TLS証明書は、相手の正当性確認と安全な鍵交換の起点として働きます。
SSL/TLSハンドシェイク:セキュア接続の確立プロセス
概要
SSL/TLSハンドシェイクは、ブラウザとサーバーが初めて会うときに安全な通信の“約束”を交わす手順です。握手でお互いの正体を確認し、通信に使う共通の鍵(セッションキー)を決めます。たとえばオンラインショップでカード情報を送る前の準備にあたります。
ハンドシェイクの主な手順
- クライアント(例:ブラウザ)がサーバーへ接続し、使用可能な暗号方式を伝えます。
- サーバーは証明書(公開鍵を含む)を送り、自分の正当性を示します。
- ブラウザは証明書の発行元と有効期限を確認し、信頼できれば公開鍵で暗号化したセッションキー候補を作り送ります。
- サーバーは秘密鍵でそれを復号し、両者が同じセッションキーを得たことを確認します。
- 以後は同じセッションキーで対称暗号を使い、高速で安全な通信を行います。
セッションキーの性質
セッションキーは短時間だけ有効です。期限切れや長時間通信する場合は再ハンドシェイクで新しい鍵をつくります。これにより、万が一鍵が漏れても被害を小さくできます。
問題が起きたとき
証明書が無効、または改ざんの疑いがあるとブラウザは警告を出し接続を中止します。ユーザー側ではURLや警告内容を確認し、信頼できるサイトかどうか確かめてください。
SSL証明書の種類と分類
ドメインの種類
- シングルドメイン:1つのホスト名だけを保護します。例)www.example.com。設定や運用がシンプルです。
- ワイルドカード:1つのドメイン配下の複数サブドメインをまとめて保護します。例)*.example.com → shop.example.com や blog.example.com。
- マルチドメイン(SAN):複数の別ドメインや複数ホスト名を1枚で保護できます。例)example.com、example.net、shop.example.org。
検証レベル
- ドメイン検証(DV):ドメインの所有だけを確認します。発行が早く、個人サイトや開発用に向きます。
- 組織検証(OV):申請組織の実在を確認します。企業サイトや信頼性を示したい場合に適します。
- 拡張検証(EV):最も厳格に組織を確認し、ブラウザ上で運営者名が表示されるなど信頼性が高まります。決済や重要な取引に適します。
無料SSLと有料SSLの違い
- 無料SSL:主にDVタイプで、有効期限は約90日。自動更新を使えば手間は少ないです。
- 有料SSL:DV・OV・EVの全タイプを提供し、有効期間は最大3年。複数ドメイン対応や保証、サポート、ワイルドカードの有無など付加機能が選べます。
選び方のポイント(簡潔に)
- 個人ブログやテスト:無料DVやシングルドメインで十分です。
- 企業サイトや決済:OVやEV、ワイルドカードやマルチドメイン対応を検討してください。
- サブドメインが多い場合:ワイルドカードが便利ですが、別ドメインが混在するならマルチドメイン(SAN)を選びます。
暗号化の仕組み:対称鍵暗号と非対称鍵暗号
対称鍵暗号とは
対称鍵暗号は送信側と受信側が同じ鍵を使ってデータを暗号化・復号します。例えると同じ合い鍵で箱を開け閉めするような仕組みです。代表的な方式にAESがあり、通信の中身を高速に守れます。
非対称鍵暗号とは
非対称鍵暗号は公開鍵と秘密鍵という一対の鍵を使います。公開鍵は誰でも使えますが、秘密鍵だけが復号できます。郵便受けに投函する箱のように、受け取り側の公開鍵で暗号化すれば秘密鍵だけで中身を開けられます。
なぜ両方を組み合わせるのか
非対称鍵暗号は安全ですが処理が重いです。そこでハンドシェイクで公開鍵を使い、短期間のセッション鍵(対称鍵)を安全に共有します。その後は速い対称鍵暗号で大量データをやり取りします。これにより安全性と効率を両立します。
実際の流れ(簡単な例)
- ウェブサイトが公開鍵を送る。 2. ブラウザがランダムなセッション鍵を公開鍵で暗号化して送る。 3. 以降はそのセッション鍵で高速に暗号化通信する。
この組合せで、機密性と速度を同時に確保しています。
