(従来の)SSL(Secure Socket Layer)
SSLは、ネットスケープ社が開発した暗号通信プロトコルで、多くのWebブラウザに標準装備され広く用いられています。セッション層(レイヤー5)に相当します。
たとえば、店舗側のWebサーバとクライアント(購買者のパソコン)との間で、SSLによる暗号通信をするときには、店舗側はあらかじめ認証局に申請して電子証明書を取得しておきます。そして、該当するWebページを閲覧すると、サーバがクライアントに電子証明書と呼ばれるデータを送るので、クライアントはこの証明書を使って,通信相手のサーバーが信頼できるかどうかを検証します。
このとき、httpsで通信するので、SSLを用いているWebページは、「http://~」ではなく、「https://~」となっており、ブラウザには下のような表示がされています。この鍵マークをクリックすると証明書が表示されます。
☆
店舗のWebサーバを見て購買者が注文するときの手順は次のようになります。
- ① あらかじめ、認証局の秘密鍵で暗号化した電子証明書と店舗の公開鍵を得ておく。
- ② 購買者がSSLページの閲覧をする。
- ③ 店舗のWebサーバは、①を転送する。ブラウザはそれを開く。
- ④ 購買者は、①の電子証明書から認証局にアクセスして認証局の公開鍵を入手する。これにより、店舗の信用が確認される。
- ⑤ 認証局の公開鍵を使用して、電子証明書を復号化し、店舗の公開鍵を入手する。
- ⑥ 購買者は一時的共通鍵を生成する。
- ⑦ ⑥の共通鍵を、⑤で得た店舗の公開鍵で暗号化して送信する。
- ⑧ 店舗のWebサーバは、⑥の共通鍵を店舗の秘密鍵で復号する。
- ⑨ これで購買者も店舗も共通鍵を入手できたので、共通鍵暗号方式で通信を行う。
EV SSL(Extended Validation SSL)
Extended Validationとは「拡張認証」の意味です。
認証局がSSLサーバー証明書を発行するときは、利用者を審査しますが、その審査内容は認証局に異なり、審査が甘い場合には虚偽の証明書を取得できます。虚偽の証明書によるSSL表示を用いて利用者を安心させ、フィッシングや中間者攻撃(説明)を行うケースが増大してきました。
それに対処するために、審査基準を統一して、SSLより厳格な審査をするのがEV SSLです。
従来のSSLでは、ドメイン名使用権の確認だけでよく、厳しいものでも組織の法的実在の確認程度でしたが、EV SSLでは、申請責任者の権限の認証、政府または第三者機関における組織の実在性の検証などが必要になりました。
EV SSL対応のブラウザで、EV SSL取得サイトのアクセスすると、アドレスバーが緑色になり、SSLでの鍵マーク横にサイト運営組織名と、認証局名が表示されます。信頼できない証明書の場合、アドレスバーを赤色に表示するブラウザもあります。
中間者攻撃(man-in-the-middle attack)とは、暗号通信を行なうAとBの間に、不正者Xが割り込んで、虚偽の電子署名・認証を用いて、Aに対してはBを装い、Bに対してはAを装うことにより、情報を不正入手する手口です。AにBからのWebページをコピーしてXの証明書をつけて安心させ、Aが入力した暗号情報を解読します。そして、改ざんした暗号情報をAになりすましてBへ送信します。すべてAとBの公開鍵で暗号化(署名)しているので、AもBも盗聴され改ざんされたことに気付かないのです。認証局の本人審査が甘いと、このような手口が行われます。
SET(Secure Electronic Transactions)
SSLでは,購買者のクレジット番号を店舗が知ることになり,悪用される危険があります。それに対してSETは,クレジット決済用のプロトコルで、クレジット番号などを暗号化して店舗に送信し,店舗が決済金額を添えてクレジットカード会社に決済承認を行うようにしているので,店舗側にもクレジット番号を知られないようにすることができます。