勉強会 Vol２【SSL証明書とは】

1. 社内インフラ勉強会
Vol.2 SSL証明書とは？

2. HTTPとかHTTPSとか
ユーザー
サーバー
振り返り：ユーザーとサーバー
WEB DB
MAIL
Yahoo見して！
リクエスト
レスポンス
あいよ！ほれ！

3. • 通常、家庭や職場内で使われているPCより
性能が高い自動演算処理機器
• OSは常時稼働が通常求められるので、
堅牢性の高いLinux系のものが多い
• 会社内のサーバールームやデータセンターなどと
いったところに設置されている
• 実体のあるものとないものがある
（ざっくり言うと）
振り返り：サーバーって？

4. インターネットはハッキングの嵐。。
昔は単純なデータ通信しか行っていなかったインターネットが、
WEBバンクやらECショップやらとして使うようになり、いまや回線上は
大事な個人データが飛び交っている。。
↓
ハッカーさんは『メシうまーーーー！(ﾟДﾟ』
な状況。。。。ﾉｿﾞｷﾎｳﾀﾞｲ
↓
なんとかせな・・・
じゃあ、、
暗号化しちゃうか？いっそSSLで？？

5. そもそも、SSL （Secure Sockets Layer）って？
通信するときに使うお約束事のひとつ
インターネット上でやり取りする情報を暗号化して送受信するための仕組み
つまり
↓
個人情報やクレジットカード情報などの重要なデータを暗号化し、
サーバ～PC（ユーザー様）間での通信を安全に行なうということ。
インターネット上の通信を暗号化するんよ～

6. じゃあ、よく聞くHTTPSって？
まず、HTTPはユーザー様がブラウザでネットを見ようとした際、
ブラウザとサーバー側で行われる通信
じゃあ、HTTPSって？
↓
HTTPな通信をSSLしたよ
つまり
ネットの通信を暗号化したよ ってこと
「httpの通信を暗号化して行いますよ」ということ

7. ようは
管理局からお墨付き（認定）をもらい、
暗号化した通信で
安全にやり取りしましょう！！
ってこと。

8. 重要性
通信を暗号化するというのももちろんのこと、
天下のGoogle様がHTTPS通信を『強く』推奨されておいでです・・・
HTTPSをSEOで優遇すっぞ！！
だから全ページSSL化しろや！！
SEOが影響してくるということで、世はまさに
一億総SSL化っっ！m9(^Д^)プギャー

9. どなんして安全にやってるの？
①宝箱とその宝箱を開ける鍵を
2本用意します。
②宝箱を開ける鍵を
ユーザー様とサーバで
1本ずつ持ちます。
③あとは書いた内容を
宝箱に入れてやり取りします。
ユーザー様 サーバー ユーザー様 サーバー
※事前にサーバー側で用意。
「特別な鍵のやりとりで秘密保護しちゃうよ！」ｻﾞｯｸﾘ
出典：「分かりそう」で「分からない」でも「分かった」気になれるIT用語辞典
http://wa3.i-3-i.info/

10. Ｋｗｓｋ！！①
まずユーザー様がサーバさんに挨拶します。
※注）挨拶＝ブラウジング。Yahoo見るだとか

11. Ｋｗｓｋ！！②
挨拶を受けたサーバさんは、ユーザー様に自己紹介のお手紙
（サーバ証明書）を送ります。
お手紙の中にはサーバさんの「これを使って暗号化してね」な鍵
（サーバの公開鍵）が入っています。
サーバーの公開鍵
が仕込まれてる！

12. Ｋｗｓｋ！！③
お手紙を受け取ったユーザー様は、自分のやり取りしているサーバさん
が本物かを確認します。
場合によっては、保証協会さん（認証局）に問い合わせたりも。
本物だった場合「これを使って暗号化してね」な鍵（サーバの公開鍵）
を取り出します。

13. Ｋｗｓｋ！！④
次にユーザー様は、サーバさんと秘密の会話をするためのルール
（共通鍵）を新規で作ります。

14. Ｋｗｓｋ！！⑤
作ったルール（共通鍵）を「これを使って暗号化してね」な鍵
（サーバの公開鍵）に従って暗号化します。

15. Ｋｗｓｋ！！⑥
暗号化されたルール（暗号化された共通鍵）をサーバさんに送ります。

16. Ｋｗｓｋ！！⑦
サーバさんは、暗号化を解除する鍵（サーバさんの秘密鍵）を使って、
暗号化されたルール（暗号化された共通鍵）を元に戻します。（復号）

17. Ｋｗｓｋ！！⑧
これでユーザー様もサーバさんもやり取りするためのルール（共通鍵）
を手に入れました。
あとは、そのルール（共通鍵）に従ってやり取りをするだけです。
共通鍵を持っていない人は、やり取りを盗み見たところで、
何が書いてあるか分からないよ！ってな理屈。
単純な話、
これだけの工程があ
る為、HTTPよりも
通信に時間がかかる
↓
重く感じてしまう

18. 上記流れを実現するには
（すくなくとも）以下の書類一式が事前に必要！
サーバー側で作成
・CSR（証明書を発行する際必要）
・公開鍵
上記揃ったら認証局（SSLストアとか）で以下を発行（有料）してもらう
・証明書
・中間証明書
※自己証明書（通称：オレオレ証明書）、Let’s Encrypt等無料のもある。

19. どうやって証明書確認するの？
IEの場合
SSLチェックサイトでチェックすることも
Geo Trust CryptoReports
https://cryptoreport.geotrust.com/checker/views/certCheck.jsp

20. エラー（証明書失効）だと、、、
ここクリックすると見れるっちゃー見れる

21. ここまでまとめると、
結局、SSL証明書の役割って？
・暗号化して通信する過程で必要なもの
・通信する相手（サーバ）が悪いやつじゃないよと証明するもの

22. いろんな証明書があるよ
ざっくり3パターン
■ドメイン認証
ドメイン名の使用権を確認するだけで利用可能。
■企業実在認証
ドメイン名の使用権及び組織の法的実在性の確認が必要。
■ EV認証
ドメイン名の使用権及び組織の法的・物理的実在性、組織の運営、
承認者・署名者の確認といろいろ確認すること多し。。
それだけ信頼性が高いということ。
お値段
お安め 1000円くらい
そこそこ 2万？
超高っ！ 7万とか

23. 高い理由
・証明書情報に組織名
・アドレスバーに組織名
・フィッシング詐欺対策
でも、
安かろうが高かろうが証明されていること
自体に変わりはない。。
ユーザー様に安心感お届け！
企業的イメージアップ！！
Google様おすみつき！！
お高い証明書には

24. ナディアで一般的な証明書
RapidSSL 一択（ほぼ）！！
早い！！！
安い！！！
簡単！！！
SSLストアで買っています。
漢は黙って！ドメイン認証！ ！

25. ところで最近知っとった？？
と
仲悪くなってん。。。

26. ここだけの話、、
Symantecには前科があり、
2年前、SymantecはGoogleの許可なしに、google.comと
www.google.comのEV証明書を関係者外に発行してしまった！
それを受けて、GoogleはSymantecのルート証明書を無効に！
そして今回懲りずに許可なくEV証明書を大量に発行しちゃった！！
と、さらに激おこぷんぷん丸なGoogle。。。
あのお高いヤツな

27. それ受けたGoogleさん曰く、
1カ月ちょっとの間長いやり取りしたけど、、
Symantecの中の人から満足いく回答が返ってこなかったYO！

28. で、どーなんのよ？？
①Symantecから新規に発行される証明書は、
有効期限が9カ月以下のものしか受け付けないYO！
→今までは最長3年ものも購入できた。
②Symantecが発行した既存の証明書はGoogle Chromeのリリース
ごとに徐々に、最終的にはすべてdistrustするYO！
→ChromeでSymantecのSSL証明書設定しているとこすべてエラー！
③SymantecのEV証明書は、
アドレスバーのEV証明書表示を出さねーYO！！！
→アドレスバーの緑色が緑くならない！！
※ブラウザがChromeの場合、ね
Symantecの発行したすべての証明書への信頼とやら、
失墜させてやんよ！

29. 対象の証明書は
←よく使っとるヤーツ(；´Д｀)
RapidSSL
RapidSSL(ファイル認証専用)
RapidSSL Wildcard
GeoTrust QuickSSL Basic
GeoTrust Quick SSL Premium
GeoTrust True BusinessID
GeoTrust True BusinessID Wildcard
GeoTrust True BusinessID with EV
Symantec Secure Server ID
Symantec Secure Server ID Wildcad
Symantec Secure Server ID with EV
Symantec Global Server ID with EV

30. GIGAZINEの記事によると
『シマンテックのPKI事業は
Thawte、VeriSign、Equifax、GeoTrust、RapidSSL
などのブランド名で認証局を運営しており、
認証局としては30％以上のシェアを持つ大手』
30%の市場シェアを持つ認証局の証明書を無効化しちまうんかーい
ｶﾞｸ((( ;ﾟДﾟ)))ﾌﾞﾙ

31. それでもね
どうやらSymantecは、SSL事業を外部に売りに出した模様。
買収したのはDigiCert。
Googleさん
『Symantecじゃないなら、、、ま、いっか♪♪』
※正確には事業譲渡完了後、証明書を再発行することでセーフ。
妥協の産物！！
オトナの事情！

33. まとめ
・SSLは通信データを暗号化して通信を行う手法だよー
・SSLはいろいろ種類あるけど、ハクが付く位で
証明していること自体は変わりないよー（個人的主観）
・GoogleとSymantecが世界規模のケンカしてるよー（一方的）

34. 以上、ご清聴ありがとうございました！
次回は
ドメインとは
を予定しております。