SSLサーバ証明書
Last-modified: 2016-05-20 (金) 09:47:40 (613d)

Tag: it tls サーバ証明書 ca ssl checker 中間証明書

概要

SSL/TLS通信を行う上で、暗号化を行うためにクライアントとサーバ間で証明書のやりとりを行う。
基本的には第三者機関(認証局)が発行し、サーバ証明書が正しいものということを証明してもらうが、自己証明(オレオレ証明)も可能。

自己証明の場合は、ブラウザでエラー画面がでる。
利用者が内部の人のみであれば影響はないが、一般公開するWEBページなどは正式な証明書を購入すべき。

menu

主な証明書発行会社

違いは、発行機関のブランド、対応端末、補償額、証明書購入の単位(FQDN単位か、サーバ単位か)。
細かいところでいえば、社内セキュリティレベルなどが違うかもしれないが、利用者は正直わからん。

基本的に安い証明書は補償額がかなり低い。
補償とは、基本的に発行会社のセキュリティインシデント等によって利用者に被害を与えた場合に支払われるものだが、会社によって補償範囲が異なるので、要確認。

以下は単純に企業認証+コモンネーム(FQDN)単位の証明書においてのコメント。
マルチドメイン系のSNI、SANsとかはまだ調べてない。フィーチャーフォンに対応してないので。
近いうちにちゃんと調べて書く。

シマンテック (ベリサイン)

以前は業界最大手。今はわからん。
基本的にサーバ単位で証明書を購入するのでとにかく高くなるイメージ。
フィーチャーフォンなどの対応端末は100%を謳っていたが、SSL廃止やSHA-2対応によって、古いフィーチャーフォンはほぼ利用できなくなったので、現状他社と大差ないと思われる。

補償額は断トツに高い。ただ、その必要性があるかはそのサイト次第。

グローバルサイン

企業認証 かつ FQDN単位の証明書では比較的安い。

補償額もそれなり。ブランドもまぁまぁ。
今はこのあたりが主流?

対応端末(SHA-1証明書):フィーチャーフォン(クイック認証SSL・企業認証SSL)

https://jp.globalsign.com/support/faq/520.html?service=ssl

対応端末(SHA256証明書):フィーチャーフォン(クイック認証SSL・企業認証SSL)

https://jp.globalsign.com/support/faq/541.html?service=ssl

対応端末(SHA-1証明書):フィーチャーフォン(クイック認証SSL・企業認証SSL)

https://jp.globalsign.com/support/faq/522.html?service=ssl

対応端末(SHA256証明書):スマートフォン(クイック認証SSL・企業認証SSL・EV SSL)

https://jp.globalsign.com/support/faq/544.html?service=ssl

サイバートラスト

企業認証+FQDN単位の証明書であれば、ベリサインよりは安い。
ただ、グローバルサインと比較すると高い。

補償額もグローバルサインとそんなに変わらないので、正直メリットはわからないが、採用している企業も多いので何かメリットがあるはず。

あえて言うならおそらく端末対応率だと思うが、TLS,SHA-2によってそのメリットはほぼなくなっていると思われる。

COMODO

たぶん企業認証+FQDN単位の証明書ではかなり安い部類。
それ以外は細かく調べてない。

その他

超格安系の証明書発行会社もあるが、大半は補償額が削られていると思われる。
あと正直ブランドの低さとかその会社の信頼性とかの問題。
まぁ、HTTPSのサイトで見えてる証明書が上記のものであれば比較的安心できると思われる。
あまり名が知れてない会社の証明書だと大丈夫かなと思ってしまうこともある。

関係者用の管理系サーバとかであれば激安の証明書でも特に問題はないと思うので使い分けかなーといったところ。

携帯キャリア

各携帯キャリアのSSLサーバ証明書の対応状況がわかる資料の置き場。

docomo

https://www.nttdocomo.co.jp/service/developer/make/content/ssl/spec/index.html#p04

au

http://www.au.kddi.com/ezfactory/web/index.html

Softbank

http://creation.mb.softbank.jp/mc/tech/tech_web/web_docandtools.html

TIPS

さくらインターネットのレンタルサーバに証明書を設定する。

基本的に以下リンクの方法で適用。独自ドメインなので、共有SSL証明書は使えず。

https://help.sakura.ad.jp/app/answers/detail/a_id/2501

中間証明書に関連する設定ミス・障害対策

SSLサーバ証明書絡みでよくありがちなのが、中間証明書の適用ミス。
適用順番ミスとか、新しい中間証明書に変更しなかったとか。

しかも(2014年時点で)IE, Chromeだとエラーが出なかったので、すぐ気づきにくい。

適用後、必ずすぐに以下のようなSSLチェッカーで正常に適用されているか確認する。

■Symantec CryptoReport
https://ssltools.websecurity.symantec.com/checker/views/certCheck.jsp

実機であれば、FireFoxやスマホ、必要ならフィーチャーフォンで確認すべし。

SSLサーバ証明書の設定確認、中間CAの設定ミスを発見する - Qiita

http://qiita.com/kawaz/items/93e06eeb3f858be4f743