セキュリティトピック

ドメイン認証(DV)
SSL/TLS サーバ証明書の危険性

SSL/TLS サーバ証明書は、データの暗号化だけではなく、Web サイトの認証も行います。
これは信頼の基盤となる重要で基本的な機能です。
Web サイト訪問者が SSL/TLS の南京錠アイコンや HTTPS で始まる URL を見ると、このサイトが本物であると信用します。

ドメイン認証とは?

偽サイトやフィッシング、詐欺との戦いには、信頼できる SSL サーバ証明書が必要不可欠です。ドメイン認証(DV)証明書が危険にもなり得るのはこのためです。この証明書の認証に関しては、認証局は、ドメイン名の WHOIS レコードにドメイン管理担当者として記載されていることが確認できれば誰にでも発行します。連絡先のメールアドレスに電子メールを送信するだけで、それ以上の確認は行いません。

 

そのため、SSL/TLS サーバ証明書の認証を行う中で最も低いセキュリティレベルです。さらに高度な認証を行うものには、企業認証(OV)証明書や EV(Extended Validation)証明書があり、より詳細な実在性のチェックを必要とします。

 

ドメイン認証とは?

SSL/TLS 認証

危険になり得る理由とは?

ドメイン認証の問題として、サイバー犯罪者が正当なドメイン名をわざと誤った文字列を使用したフィッシングサイトでも SSL サーバ証明書を簡単に取得できることがあります。たとえば、犯罪者が「BankOne.com」を標的としている場合、無料 Web メールアカウントで「bank1.com」を登録し、このサイト用にドメイン認証 SSL サーバ証明書を取得することもできます。

一般訪問者がだまされてこのフィッシングサイトにアクセスしても、「https」の URL で始まることと SSL の南京錠が表示されていることで安心し、アドレスのスペルが違うことに気づかない可能性があります。

ドメイン認証(DV)証明書を見分ける方法

証明書がドメイン認証なのかどうかを見分けるのは、実際のところ非常に困難です。したがって、ユーザーがお客様のサイトを見て真正なサイトを模倣したフィッシングサイトだと信じ込む可能性も考えられ、個人情報がそのサイトで盗まれたことにユーザーが気づくと、Web サイトが責任を問われることも考えられます。

Web サイトの所有者を実際に認証する方法は認証局によってさまざまですが、EV 証明書は確実に認証レベルが高く、サイト訪問者のアドレスバーが緑色に変わることで確認できます(以下に、一般的なブラウザの例を示します)。

 

f信頼できるその他の手段

簡単に取得できる SSL/TLS サーバ証明書を使用する偽サイトが蔓延している今、Web サイト所有者はドメイン認証(DV)証明書で危険を冒すことはできません。特に、サイトでユーザーの機密情報や個人情報を求める場合、ユーザーがより大きな安心を求める可能性が高くなります。

デジサートなど評判の高い認証局の証明書を選択し、EV など信頼性の高い認証方法を選ぶことで、より信頼できる構成となります。ビジネスにとってもドメイン認証より優れていることは言うまでもありません。

SSL/TLS のメカニズムからサーバでの設定方法まで SSL/TLS について詳しくは、インタラクティブなリソース『SSL Explained』をご確認ください。

Web サイト向けセキュリティに関する 3 つの通説が明らかに

事実を知る


ウェブサイトセキュリティについては数多くの嘘や迷信が広がっています。どうすれば真実を見極め、企業、ウェブサイト、顧客のセキュリティを維持するために正しい保護を選択できるのでしょうか?

3 つの通説について読む(英語)
プライベート SSL

プライベート SSL

Symantec プライベート SSL は、自己署名で発行されるイントラネット証明書のセキュリティと管理を向上するコスト効率の高いソリューションであり、企業や業界のコンプライアンス基準にも対応します。シマンテック マネージド PKI for SSL のコンソールが提供する可視性とアラート機能警告を利用することで、期限切れを回避し、自己署名のイントラネット証明書を即時に発行、管理、追跡することができます。

続きを読む

EV SSL/TLS 証明書とは?

EV SSL/TLS 証明書とは?

シマンテックの EV SSL/TLS サーバ証明書は、企業と個人がオンライン上で安心して通信や商取引に参加できるソリューションを提供します。

続きを読む

クライアント証明書とサーバ証明書の

クライアント証明書とサーバ証明書の違いとは?

「公開鍵基盤」、「クライアント証明書」と聞くと、多くの人は企業が顧客のオンライン決済の保護と完了に忙しいさまを思い描くでしょう。ところが、このような証明書は日常生活のいたるところで、様々な形態で使用されています。VPN にサインインしたり、ATM で銀行カードを使用するとき、あるいは建物への入退出用カードやロンドンの交通スマートカード「Oyster」の内部でも使用されています。  

続きを読む

使用例

シマンテック・ウェブサイトセキュリティソリューションの活用事例

コミュニティに参加

Symantec Connect でセキュリティに関する議論に参加

COMMUNITY

脅威インテリジェンスについて Twitter @Threatintel をフォロー

SYMANTEC ON TWITTER

YouTube チャンネルでシマンテックウェブサイトセキュリティのビデオを見る

SYMANTEC ON YOUTUBE

基本から学ぶSSL

SSL/TLSサーバ証明書とは

オンラインの情報を保護し、Web サイトの信頼性を高める SSL サーバ証明書。「SSLとは?」「なぜSSLが必要なのか」「SSLの種類」「SSLがどのように機能するのか」をわかりやすく説明します。

 

鍵