SSLサーバー証明書って何を証明しているの?

(イラスト・アニメーション:岸本 ムサシ)

  今回の回答者:
上杉 謙二
日本ベリサイン
マーケティング本部 マーケティング部
プロダクトマーケティングチーム
シニアプロダクトマネージャ

 「SSLサーバー証明書」(以下,証明書)とは,SSL(secure sockets layer)で安全に通信できることを証明する電子証明書で,認証局という組織が発行しています。証明書は,アクセスしてきたWebブラウザに対してWebサーバーが配布します。

 認証局は複数あり,日本ベリサインはその一つです。証明書には,WebサーバーとWebブラウザの間で暗号化通信ができるようにすることと,Webサーバーを運営する企業や団体が実在すると証明すること,の二つの機能があります。日本ベリサインでは,後者の“運営企業の実在を証明すること”の審査を特に厳密に行っています。

 通常,A社のWebサイトの証明書には,A社の名前が表示されています。ところが,証明書に表示される企業名が,ユーザーがアクセスしているWebサイトの運営会社と異なるケースも,まれにあります。A社のWebサイトにアクセスしているはずなのに,Webブラウザで表示される証明書には覚えのないB社の名前が書かれているのです。このような場合,「もしかしてこれはフィッシング詐欺のWebサイト?」と思う人もいるかもしれません。

 実はこれは,A社のWebサイトが,B社が提供するWebサーバーやアプリケーションを使った「SaaS」で運用されているケースでも見られる現象です。SaaSのWebサーバーを運営しているのはB社なので,証明書はB社に発行されており,A社に発行されたものではありません。ですので,B社の名前が「Webサーバーを運営する組織名」として表示されるのです。

 日本ベリサインでは,一般の方に混乱を与えない配慮を,Webサイトの運営企業にお願いしています。例えばSaaSを利用したWebサイトでは,証明書を取得した企業名をサイト上に明確に表示するなどの工夫をしていただいています。