鍵マークにもいろいろある。
アドレスバーに鍵マークが付いているのに気づいてますか?
サイトに鍵マークを付けるには、サイト運営者が「SSLサーバ証明書」というデジタルな証明書を取得し、それをWebサーバにインストールすることで、ユーザーからの送信データを暗号化できるようになります。
また、鍵マークがブラウザのアドレスバーに表示されるようになります。
これが基本的な仕組みです。
が...、この「SSLサーバ証明書」の種類がひとつだけではなく、いろいろな種類があることが混乱の原因になっているようです。
ざっと種類を紹介します。
【プライベート証明書(俗称:オレオレ証明書)】
公的な証明書発行機関から発行する「SSLサーバ証明書」ではなく、自分で勝手に発行した証明書です。
こういう証明書は「信頼できない証明書」ということで、ブラウザが強い警告画面を出し、先に進むのを難しくしてくれるので、一般の方はそれ以上進むのは避けましょう。(進むことは可能)
キチンとした一般向けのサイトでは、こういうプライベート証明書を使うことはありえないでしょう。
【公的な証明書発行機関から発行してもらうSSLサーバ証明書】
CA(Certification Authority)と呼ばれる信頼できる認証局=証明書発行機関から発行してもらった証明書です。
有名なベリサイン社をはじめとしてサイバートラスト社、グローバルサイン社、ジオトラスト社などの発行機関があり、これらから発行された証明書は、ブラウザは安心できる証明書として識別します。
この公的機関が発行する証明書には、認証レベルに応じて3つの種類があり、それが鍵マークの安心問題を厄介にしている、判断しにくい原因なのです。
SSLサーバ証明書には3つのレベルがある
「EV(Extended Validation )」と言われる最高レベルの証明書では、実際のその申請企業や団体が実在して実態があり連絡が取れることまで確認しているので、フィッシングサイトなどに利用されることがありません。
プラウザの鍵マークとそのあとのドメイン名が緑色になっているのがこのレベルで、この状態のサイトなら安心できます。
実際、金融機関や公官庁、大手ショッピングモールやグローバルブランドや大手メーカーなど、フィッシングによってユーザーに大きな金銭的な被害を与えてしまう恐れのある業態やサービスなどのサイトでは、ほぼこのEVレベルの証明書を取得しています。
しかし、その次のレベルの「OV(Organization Validation)」では、企業の法的な登記は確認しますが、幽霊会社など実態のない会社でも取得できてしまいますし、また一番レベルの低い「DV(Domain Validation)」に至っては、個人でも取得できたり、法人でも登記情報などの確認がないので、架空の法人や団体でも取得できるなど、「鍵マークがあっても危ないサイトではないとは言えない」という状況が生まれてしまうのです。
もちろんOVレベルでもその多くは全く問題ない企業やサイトです。
鍵マークにもいろいろある
こう書くと、「全てのサイトがEVレベルの証明書を取得すればいいじゃないか」と思われるかもしれません。
それもそうですが、レベルによってかかる費用や申請の手間が大きく違うということもあり、自分のサイトにとって必要十分なレベルを、各企業が判断して取得している、というのが実情です。
ですので、EVレベルではないとダメ!とも一概には言えないのです。
社員だけが使うサイトなどでは、単に通信データを保護するだけのDVレベルでも十分な場合もあります...。
ですので、「EVレベル以外を信用してはいけない」とは一概に言えないのです。難しいですね...。
結局、鍵マークだけでは安全かどうかの判断が簡単には出来ない状況であり、自分で確認するということが大切になります。
インターネットの世界では、毎年多くのフィッシングや不正請求、不正アクセスその他の被害が発生しています。
その中で自分を守ることは大切なことですので、セキュリティ知識を正しく持つとともに、最新の情報をこまめにチェックして対応していきましょう。
そのサイト安全?その確認方法については以前にも当サイトで紹介しているので確認してください。