Certificate Management Service:SSL 証明書とは

実装

SSL 証明書ベースの暗号化

SSL は、認証のための非対称暗号化とデータ転送のための対称暗号化のハイブリッドメカニズムに基づいて安全な通信を実装します。 コアプロセスは、証明書の生成と検証と暗号化されたセッションの構築の 2 つのフェーズで構成されます。

1. 証明書の生成と検証

   • サーバーが CA から証明書を申請する場合、サーバーは最初に 2048 ビットの Rivest-Shamir-Adleman（RSA）ベースまたは 256 ビットの楕円曲線暗号（ECC）ベースのキーペアを生成します。 次に、サーバーは公開鍵、ドメイン名、企業情報などの必要な情報を証明書署名要求（CSR）にパッケージ化します。

   • CA がドメイン名システム（DNS）検証またはファイル検証方式を使用するドメイン名の所有権検証を承認した後、CA は独自の秘密鍵を使用してサーバー公開鍵にデジタル署名し、標準証明書を生成します。 署名は、ルート証明書、中間証明書、サーバー証明書の構造で信頼チェーンを生成するのに役立ちます。 ブラウザは、構造内のすべての証明書を検証して、偽造を防ぎます。

2. 暗号化されたセッションの構築

   • TLS ハンドシェイクプロセスでは、クライアントは ClientHello メッセージを送信してハンドシェイクプロセスを開始します。 メッセージには、サポートされている暗号スイートと乱数が含まれています。

   • サーバーは ServerHello メッセージで応答し、暗号スイートを選択し、証明書チェーンを送信します。

   • クライアントは、ドメイン名、有効期間、失効ステータス（オンライン証明書ステータスプロトコル（OCSP）など）を含む証明書の有効性を確認します。

   • クライアントは事前マスターキーを生成し、サーバーの公開鍵で暗号化して、サーバーに送信します。

   • クライアントとサーバーは、事前マスターキーとそれぞれの乱数を使用して、Elliptic Curve Diffie-Hellman Ephemeral（ECDHE）や Diffie-Hellman Ephemeral（DHE）などのキー交換メカニズムを通じてセッションキーを導出します。

   • 後続の通信では、高度暗号化標準（AES）などの対称暗号化アルゴリズムを使用して、パフォーマンスを向上させ、計算オーバーヘッドを削減します。

シナリオと使用方法

SSL 証明書を使用していない Web サイトは保護されていません。 すべての転送データはプレーンテキストであり、攻撃者は公共 Wi-Fi やネットワークスニッフィングなどの方法で、ユーザーパスワードや銀行カード番号などの機密情報を簡単に傍受できます。 たとえば、中間者攻撃（MITM）攻撃は企業の e コマース決済ページに対して開始され、資金の盗難につながります。 ブラウザは、このような Web サイトを安全ではないとマークし、これが直接トラフィックの損失につながります。 さらに、暗号化されていない通信は複数のグローバル規制に違反する可能性があり、関係する企業は高額な罰金に直面し、金融やヘルスケアなどの業界でコンプライアンス資格を失う可能性があります。

SSL 証明書がデプロイされている場合、ハイブリッド暗号化メカニズムによって構築されたセキュアチャネルは、データが傍受された場合でも解読するのが非常に困難で時間がかかり、大量の計算リソースと時間がかかります。 SSL 証明書がデプロイされると、ブラウザのアドレスバーにロックアイコンが表示されます。 拡張検証（EV）証明書をデプロイすると、企業の名前がアドレスバーに表示されます。 これにより、ユーザーの信頼と Web サイトの信頼が大幅に向上します。 法的に、SSL 証明書は、多層防御スキーム（MLPS）2.0 や PCI-DSS など、20 以上の国際認証の要件を満たしています。 これにより、法的リスクが回避されます。

手順

購入

Alibaba Cloud は、ドメイン検証（DV）、組織検証（OV）、および EV 証明書をサポートしています。 Alibaba Cloud は、DigiCert、GlobalSign、GeoTrust など、複数の信頼できる CA もサポートしています。 CA は、シングルドメイン、ワイルドカード、マルチドメイン証明書など、さまざまな種類の証明書を提供しています。 Web サイトのセキュリティ要件に基づいて、証明書のブランドと種類を選択できます。 証明書の購入方法の詳細については、「公式証明書を購入する」をご参照ください。

申請

証明書の申請プロセスは、申請とドメイン名の所有権の検証の手順で構成されます。

• 申請

  証明書のタイプに基づいて必要な情報を入力し、レビューのために CA に送信する必要があります。 必要な情報には、証明書にバインドするドメイン名または IP アドレス、ドメイン名の所有権の検証方法、証明書の連絡先情報、会社の事業許可証などが含まれます。 詳細については、「証明書を申請する」をご参照ください。

• ドメイン名の所有権の検証

  CA が Web サイトの証明書を発行する前に、CA と協力して、証明書にバインドされたドメイン名を所有または管理できることを検証する必要があります。 詳細については、「ドメイン名の所有権の検証」をご参照ください。

デプロイ

証明書が発行されたら、Web サイトのサーバーにデプロイして、Web サイトへの HTTPS アクセスを確保できます。 デプロイプロセスは、サーバーの種類とホスティング環境によって異なります。 サポートされているサーバーには、Apache、NGINX、IIS サーバーなどがあります。 詳細については、「SSL 証明書をデプロイする」をご参照ください。

後続の操作

更新

証明書の有効期限が近づいたら、更新して新しい証明書を取得し、Web サイトのサーバーに新しい証明書をインストールして、Web サイトの継続的な暗号化とセキュリティを確保できます。 ほとんどの場合、証明書は最大 397 日間（約 13 か月）有効です。 有効期限が切れた後に証明書を更新しないと、セキュリティの問題が発生し、ブラウザでセキュリティアラートが生成される可能性があります。 これにより、ユーザーの信頼とエクスペリエンスが損なわれます。 詳細については、「公式 SSL 証明書を更新する」をご参照ください。

失効

セキュリティ上の理由などで証明書を使用しなくなった場合は、証明書を失効させることができます。 CA から証明書が失効されると、セキュアな通信に証明書を使用できなくなります。 詳細については、「証明書を失効および削除する」をご参照ください。

証明書のブランドと種類

Alibaba Cloud SSL Certificates Service から複数のブランドと種類の SSL 証明書を購入できます。証明書の購入時には、デプロイ シナリオ、証明書のタイプ、セキュリティ レベル、価格などの要素を考慮する必要があります。詳細については、「SSL 証明書の選択」をご参照ください。

証明書のブランド

次の表に、SSL 証明書をサポートする証明書のブランドを示します。