refirio.org

証明書の種類

■概要 今さら聞けない SSL 証明書とは、DV、OV、EV や常時 SSL について｜レンタルサーバーナレッジ https://knowledge.cpi.ad.jp/security-info/244/ 証明書には以下の種類がある。 ・DV（ドメイン認証） … ドメイン名が正しいかどうかを認証する。 ・OV（実在証明型） … ドメイン名に加え、運営組織名（会社名）も証明する。 ・EV（実在証明拡張型） … ドメイン名と運営組織名（会社名）に加え、住所や法人番号も証明する。 運営組織名や住所などを実際に確認する場合、ブラウザの鍵アイコンをクリックして 「この接続は保護されています → 証明書は有効です」 で表示されるウインドウの 「詳細」 タブ内の 「証明書のフィールド → 件名」 で確認できる。（2022年12月時点のChromeで確認した手順。） SSL証明書のEV・OV・DVの違いとブラウザでの見え方について - Rainbow Engine https://rainbow-engine.com/sslcert-ev-ov-dv-diff/ 以下は実際の商品（証明書）案内の例。 SSL認証タイプ別機能・サービス内容一覧｜GMOグローバルサイン【公式】 https://jp.globalsign.com/ssl/guide/functions.html SSLサーバ証明書お申し込みガイド｜GMOグローバルサイン【公式】 https://jp.globalsign.com/ssl-shop/new-order/ CSRを作成する際にディスティングイッシュネーム（サイトやサイト運営団体に関わる情報）を入力する。 証明書の種類によって、これらがどこまで証明書に反映されるかの差がある。 ディスティングイッシュネームとは何ですか | GMOグローバルサイン サポート https://jp.globalsign.com/support/cert-management/distinguish-name.html ■OV（実在証明型）による組織名表示の具体例 企業認証SSL byGMO｜GMOグローバルサイン【公式】 https://jp.globalsign.com/ssl/bizssl.html CSR作成時に以下を入力したとする。 （EVでなければLocality Nameは反映されないし、OVでなければさらにOrganization Nameも反映されないはず。 DVの場合は最低限の情報だけ入力して進めれば良さそうではある。 要検証。） グローバルサインで「クイック認証SSL byGMO」の購入直前まで進めてみると、 「CSR解析結果」の項目に「O」は表示される。ただし「審査される証明書の内容」では表示されない。 「クイック認証SSL byGMO」ドメイン認証なので、作成される証明書の内容からは省かれる。 また と説明も表示される。 つまり組織名を証明書に反映されたければ、企業認証SSLにする必要がある。 グローバルサインで「企業認証SSL byGMO」の購入直前まで進めてみると、「O」が「審査される証明書の内容」にも表示された。 また と説明も表示される。 このまま進めていくと、「申請組織情報」の入力画面が表示され、 「第三者データベース情報」の入力欄が表示される。 情報は「DUNSナンバー」か「帝国データバンクコード」を選択して入力するようになっている。 （あわせて、サイトシール用に「番地、地名（英語）」「ビル名（英語）」の入力欄も表示される。） この申請内容をもとにグローバルサイン側で確認が取れれば、証明書が即日発行されるのだと思われる。 確認が取れない場合、組織に対して電話確認などが行なわれるのだと思われる。 ■組織単位名の表示 証明書の OU（組織単位名）は非推奨へ、来年からは利用禁止に｜BLOG｜ サイバートラスト https://www.cybertrust.co.jp/blog/ssl/regulations/ou-usage-prohibit.html OU（組織単位名）は禁止されるとのこと。 （ここには部署名などを入力することが多いようだが、個人的には普段から空欄でCSRを作成している。） 恐らく「2022年9月1日以降に発行する証明書には、OUは反映されない」というだけで、 証明書発行の作業内容などには特に影響しないはず。 ■OV（実在証明型）を導入する際の具体的な流れ ここでは「作業者」が「クライアント」からの依頼を受け、「クライアント」のWebサイトにOV（実在証明型）を導入するものとする。 前提として、申し込みは作業者アカウントからではなく、 下記「新規お申し込み」ページ最下部の「<アカウントをお持ちでないお客様> 今すぐ証明書をご購入」から行う必要がある。 これにより、（クライアント用の）新たなアカウント作成と証明書のお申し込みを同時に行うことになる。 企業認証SSL byGMO 新規お申し込み https://jp.globalsign.com/ssl-shop/new-order/bizssl.html [企業認証SSL byGMO] 証明書新規お申し込み フォームサンプル https://jp.globalsign.com/introduce/ssl/formsample/bizssl.php?sta=new&sv=cert そのうえで、申し込みにあたって作業者が行うべきことは以下となる。 ・クライアントから「組織情報」の内容を引き上げる。 住所や電話番号は、クライアントのホームページに掲載されているような情報でいい。 ・クライアントから「契約者情報」の内容も引き上げる。 氏名は情報処理部署のようなものがあれば、そこの担当者名でいい。 電話番号やメールアドレスも、その部署のもので問題無い。 もし専用の電話番号が無ければ、「組織情報」と同じにする。ただしこの場合、「組織情報」に記載の電話番号で担当者名が会話できる必要がある。 パスワードは「契約者情報」のメールアドレスには通知されず、必要なら作業者からクライアントに共有することになる。 ・「支払い担当者情報」は作業者の情報を入力する。 この情報は、SSL証明書の内容には一切影響しない。 パスワードは作業者がGSパネルにログインする際に使用する。原則、クライアントと同じ情報を参照できる。 ・「技術担当者情報」は作業者の情報を入力する。 この情報は、SSL証明書の内容には一切影響しない。 ・購入した証明書は、「契約者情報」で指定したメールアドレスと、「技術担当者情報」で指定したメールアドレスに送られる。 証明書更新の案内も、「契約者情報」で指定したメールアドレスと、「技術担当者情報」で指定したメールアドレスに送られる。 ・電話審査の連絡は第三者データベースに記載の代表電話番号へ、「契約者情報」に入力した方宛に行なわれる。 代表電話番号から「契約者情報」に入力されている人へ取次ぎできない場合、代表電話番号で電話を取った人が「契約者情報」に記載の電話番号を伝える必要がある。 よってクライアントには、上記の電話があることをあらかじめ伝えておく必要がある。 ・「支払い担当者情報」と「技術担当者情報」を作業者にしておけば、来年以降のSSL証明書更新も作業者で作業できる。 ただし、電話での審査は更新の都度行われるので、「前年と同様、電話での審査の連絡がきます。担当者名の変更などは無いでしょうか？」な内容を、あらかじめクライアントに伝えておく必要がある。 初回発行の手間がかかるのはもちろん、毎年クライアントに電話確認が行くなど、なかなか手間がかかることになる。 OVだからと言って暗号化の強度が向上するわけでは無いので、本当に必要かどうかはよく考えて導入したい。 ■メールアドレスの入力 CSRのメールアドレスは、証明書に反映されるものと反映されないものがあるみたい。 自分で作るときは、基本的に入力しておけば良さそうではある。 【疑問質問】 CSRには何を入力すれば良いのか？ | 大手正規SSL証明書が定価よりMAX66％OFFから 【 SSLコンシェル 】 https://www.ssl-concier.com/news/topics/230 OpenSSLでCSR作成 | サイフにやさしいSSL証明書 https://www.slogical.co.jp/ssl/faq/csr_openssl/ ディスティングイッシュネームとは何ですか | GMOグローバルサイン サポート https://jp.globalsign.com/support/cert-management/distinguish-name.html ■ブランドによる金額の差 どのブランドが発行しても、証明書の暗号化強度は同じ。 ただ「あの有名なセキュリティ会社が発行した証明書だからいいものなのだろう」という知名度と信頼度によって金額が上げられていることが多い。 （例えばシマンテックやセコムなど。） あとは 「サポートを充実させています」「サイトシール（サイト上で紹介できる証明書みたいなもの）を提供します」「1つの証明書で複数のサブドメインに対応できます（ワイルドカード）」 など、サポートや機能によっても金額が異なる。 SSL証明書のブランドによる違い | さくらのSSL https://ssl.sakura.ad.jp/column/ssl-brand-compare/ SSLサーバ証明書の認証局（ブランド）の種類と違い | ServerKurabe https://serverkurabe.com/ssl-brand/