👛 🎼 👍🏿 SSL証明書について：選択する方法と取得方法 👍🏾 ♒️ 🕴🏼

7月20日、Google は ChromeがWoSign Certificate Authority（CA）とその子会社StartComによって発行されたSSL証明書を信頼しないことを発表しました。会社が説明したように、この決定はCAの高水準を満たしていない多くのインシデント、特にIT巨人の許可なしの証明書の発行に関連していました。

今年の初めには、証明書の発行を担当する組織が特別なDNSレコードを考慮する必要があることも判明しました。これらのレコードにより、ドメイン所有者は、ドメインのSSL / TLS証明書を発行できる「サークルオブパーソン」を定義できます。

これらすべての決定は、ハッカー攻撃とフィッシングサイトの数の増加にある程度関連しています。 HTTPSを介したWebサイトへの暗号化された接続は、インターネット上でさらに普及しています。証明書を使用すると、ブラウザとWebサーバー間で送信されるデータを暗号化できるだけでなく、サイトが属する組織を検証することもできます。本日の記事では、証明書の種類を確認し、証明書の取得の問題に触れます。

/ Flickr / montillon.a / cc

すべてのSSL証明書は同じデータ保護方法を使用します。認証には非対称暗号化アルゴリズム（公開鍵と秘密鍵のペア）が使用され、機密性には対称（秘密鍵）が使用されます。ただし、それらは検証方法によって異なります。証明書は、正しい承認されたサイトに属していることを確認するために、証明機関によって検証される必要があります。証明書にはいくつかの種類があります。

最初のタイプの証明書は、ドメイン検証済みです。非営利サイトに適しています。移行先のサイトにサービスを提供するWebサーバーのみを確認するためです。 DV証明書には、組織名フィールドに識別情報が含まれていません。通常、値は「Persona Not Validated」または「Unknown」です。

証明書を要求した人を確認するために、認証センターはドメイン名に関連付けられた電子メールアドレス（たとえば、admin @ yourdomainname.com）に電子メールを送信します。これは、証明書を要求した人が実際にドメイン名の所有者であることを確認するためです。 Googleはwww.google.comが属していることを一般に証明する必要がないため、ドメイン検証で簡単な証明書を使用できます（ただし、ITの巨人はまだOV証明書を使用しています。これについては後述します）。

他の検証オプションには、DNSにTXTレコードを追加するか、CAが読み取れるサーバーに特別なファイルを配置することが含まれます。このタイプの証明書は最も安価で人気がありますが、登録されたドメイン名に関する情報のみが含まれているため、完全に安全とは見なされません。そのため、内部ネットワークまたは小規模なWebサイトでの保護によく使用されます。

2番目のタイプの証明書は、組織検証済み、または組織検証済み証明書と呼ばれます。オンラインリソースの会社所有者の登録データを追加で確認するため、DVよりも信頼性が高くなります。会社は証明書を購入するときに必要なすべての情報を提供し、次にCAは組織の代表者に直接連絡して確認します。

3番目のタイプは、 Extended Validation 、または高度な検証を伴う証明書であり、最も信頼性が高いと考えられています。 2007年に初めて登場し、高レベルの機密性を備えた金融取引を行うWebサイトで必要になりました。この場合、ブラウザのアドレスバー全体が緑色で強調表示されます（これが「緑色のバー付き」と呼ばれる理由です）。さらに、緑の領域に会社名が表示されます。

ここで、さまざまなブラウザが証明書の可用性についてユーザーに通知する方法について読むことができます。

支払いを行い、トランザクションを処理するための高度な検証を備えた証明書によって確認されたサードパーティのサイトにユーザーがリダイレクトされる場合、この場合、通常のOV証明書で十分です。

EV証明書は、ドメインを物理組織に「厳密に」関連付ける必要がある場合に役立ちます。たとえば、Bank of Americaおよびドメインbankofamerica.com。この場合、組織検証付きの証明書は、リソースが銀行に実際に属していることを保証します。銀行はユーザーが物理的にお金を預けることができます-これは少なくともユーザーにとって便利です。

さらに、EV証明書は、Mountain America Credit Unionの場合と同様に、フィッシングサイトを使用した攻撃から保護します。攻撃者は、信用機関のサイトのコピーの法的SSL証明書を取得することができました。実際には、銀行はドメイン名macu.comを使用し、攻撃者は名前mountain-america.netを使用し、申請時に無邪気なサイトを投稿しました。証明書を受け取った後、サイトはフィッシングリソースに置き換えられました。 EV証明書は、このような「フォーカス」の実装を深刻に複雑にします-少なくとも犯人の住所はすぐに判明します。

OVやEVなどの証明書を発行する場合、認証センターは、証明書を受け取る会社が実際に存在し、正式に登録され、オフィスを持ち、指定された連絡先がすべて機能していることを確認する必要があります。組織の評価は、公式の州登録を確認することから始まります。ロシアでは、これは連邦税務サービスのウェブサイトに表示される法人の登録簿を使用して行われます。

証明書の申請を受け取った後、CAは組織に関する質問が記載されたレターヘッドを送信します。質問には記入して署名する必要があります。会社の長と会計主任が署名と印章を入れました。その後、スキャンされたドキュメントは認証センターに返送され、USRLEおよびTINの識別子によってチェックされます。

提供されたデータが認証センターの従業員を完全に満たしている場合、証明書が発行されます。文書を合法化する必要がある場合は、要求された文書のスキャン画像を電子メールで認証センターに送信する必要があります。

これらの文書の翻訳と翻訳の公証が必要かどうか、ならびに公証人の証明書がアポスティーユによって必要とされるかどうかを明確にすることは予備的なことです。公証人の権限を確認するためにアポスティーユの代わりに、連邦公証人会議所のウェブサイト上の適切なリンクを認証センターに通知できます。翻訳、公証サービス、アポスティーユには追加費用と組織的努力が必要になるため、これらのアクションの必要性を確認する前に、認証センターはそれらに関与すべきではありません。

CAはEV証明書を政府機関に発行することもできますが、政府機関は多くの要件を満たす必要があります。第1に、組織の存在は、組織が運営されている行政区域のエンティティによって確認されなければなりません。第二に、組織は、証明書を発行するCAの活動が禁止されている国にあってはなりません。また、禁止されている組織のリストに州の構造自体を表すべきではありません。

同時に、会社の公式文書をチェックし、法的存在の認証者として行動できる国際機関もあることに注意してください。これらの機関の中で最も有名なのはダン＆ブラッドストリートです。組織を確認した後、D＆Bはデジタル識別子-DUNS（Digital Universal Numbering System）を発行します。これは、組織の合法性を確認するために参照できます。

OVやEVなどのSSL証明書の発行には、取得を希望する組織からの費用が必要になります。ただし、すべての努力の結果、インターネット上の組織に対する評判と顧客の信頼レベルが向上します。

証明書チェーン

一般に、Webサーバーとユーザーのブラウザー間で送信されるデータを暗号化するには、単一の証明書で十分です。ただし、google.ruリソース認証パスを見ると、3つあることがわかります。

銀行や鉄道の切符売り場など、多くのサイトを訪問する場合、ユーザーは接続が安全であることだけでなく、開くサイトが正しいサイトであることも確認したいと考えています。この事実を証明するには、1つの証明書では不十分です。接続を保護するために、このサイト専用に発行された証明書が使用されていることをサードパーティ（認証機関）が確認する必要があります。

誰か「B」が「A」を検証し、「B」を信頼する場合、問題は解決します。

「B」がわからない場合は、「C」が彼を知っていると報告できます。

IDチェーンの長さは無制限です。主なことは、それがユーザーが信頼するものであることです。さらに、歴史的および技術的に、多くの認証センターがIT分野で最も高い評価を受けています。したがって、暗号証明書をルートと呼び、常にそのような署名を信頼するという合意された決定が下されました。

ルート証明機関とその公開キーのリストは、ユーザーのコンピューターに保存されます。連続して署名された証明書のチェーンがルート証明書を完了すると、このチェーンに含まれるすべての証明書が確認済みと見なされます。

他の種類の証明書

結論として、証明書の示されたグラデーション（DV、OV、EV）に加えて、他の種類の証明書があります。たとえば、証明書は、発行されるドメインの数が異なる場合があります。単一ドメイン証明書（単一証明書）は、購入時に指定された単一ドメインに関連付けられています。マルチドメイン証明書（サブジェクトの別名、ユニファイドコミュニケーション証明書、マルチドメイン証明書など）は、より多くのドメイン名とサーバーに対して有効ですが、指定された数を超えるリストに含まれる各名前については、個別に支払う必要があります。

登録時に指定されたドメイン名のすべてのサブドメインをカバーするサブドメイン証明書（WildCardなど）がまだあります。証明書が必要になる場合があります。これには、ドメインに加えていくつかのサブドメインが同時に含まれます。このような場合、 Comodo PositiveSSL Multi-Domain WildcardやComodo Multi-Domain Wildcard SSLなどの証明書を取得する価値があります。この場合、通常のマルチドメイン証明書を購入することもできます。この場合、必要なサブドメインを指定するだけです。

SSL証明書は自分で取得できます。このためのキーペアは、無料のOpenSSLなどのジェネレーターを介して取得されます。このような安全な通信チャネルは、社内のニーズ（ネットワークデバイスまたはアプリケーション間の交換）に簡単に使用できます。ただし、外部Webサイトで使用するには、公式の証明書を購入する必要があります。この場合、ブラウザは安全でない接続に関するメッセージを表示しませんが、転送されるデータについては落ち着きます。

PSブログのトピックに関するいくつかの資料：

SSL証明書について：選択する方法と取得方法

証明書チェーン

他の種類の証明書

More articles: