NTTコミュニケーションズ

Bizコンパス

3種類のサーバー証明書「DV」「OV」「EV」の違いは?
2019.06.04

今知っておきたいITセキュリティスキルワンランクアップ講座第12回

3種類のサーバー証明書「DV」「OV」「EV」の違いは?

著者 北河 拓士

 前回記事では、「なぜサイト全体をHTTPS化する必要があるのか?」について解説しました。今回はHTTPS化をするにあたって必要となる「サーバー証明書」について解説してみたいと思います。

 認証局から発行されるサーバー証明書は、認証局が運営組織の実在性を確認する度合いによって「DV(Domain Validation)証明書」、「OV(Organization Validation)証明書」、「EV(Extended Validation)証明書の」3つに別れます。DV証明書では申請者がドメインを所有していることのみを審査し組織が実在するかどうかは審査しません。OV証明書では第3者機関のデータベースや電話連絡などにより組織の実在性を審査します。EV証明書では、OV証明書より更に厳格に組織の実在性を審査します。

 3種類で異なるのは組織の実在性の審査の度合いだけで、その組織やサイトが行っているビジネスの正当性やそのサイトの安全性はいずれの証明書でも審査しません。また、証明書の種類により使われる暗号強度などに違いがあるわけではありません。

【3種類の証明書の違い】

 

DV(Domain Validation)証明書

 DV証明書は、申請者が証明書に記載されたドメインを所有していることのみを審査し、組織が実在しているかの審査は行いません。ドメイン所有の審査はメールアドレス宛に届く承認URLをクリックすることや、Webサーバーに指定された認証用の文字列を記載したファイルをアップロードすることなどで行われます。

 DV証明書は商用の認証局から購入することもできますが、無料でDV証明書を提供するLet’s Encrypt という認証局も登場しています。

 Let’s Encryptは、非営利団体のISRG (Internet Security Research Group) が運営する認証局で、電子フロンティア財団 (EFF)、Mozilla Foundation、アカマイ・テクノロジーズ、シスコシステムズなどがスポンサーとして名を連ねています。2016年4月からDV証明書の発行を開始し、2019年5月時点で1億7千万以上のドメインの証明書を発行するまでに拡大しています。

【Let’s Encryptの成長】

 

政府機関や大手企業もDV証明書を利用

 DV証明書は、運営組織の実在性を確認しないことから個人向けと言われていますが、個人だけではなく、政府機関や大手企業のサイトでもDV証明書を使用しているところが増えています。

 たとえば、日本の… 続きを読む

北河 拓士

北河 拓士

NTTコム ソリューションズ株式会社
マネジメントソリューション本部 セキュリティソリューション部

コンピュータベンダーでのシステム開発、セキュリティベンダーでのセキュリティコンサルティング、脆弱性診断などを経て、2010年よりNTTコミュニケーションズのセキュリティサービスWideAngleにて、脆弱性診断を担当

この記事が気に入ったらクリック!

お気に入り登録

この記事で紹介しているサービスについて

SHARE

関連記事

フォーティネットに聞く、2019年版サイバー攻撃の防ぎ方

2019.05.17

セキュリティ対策に求められる新たな視点第5回

フォーティネットに聞く、2019年版サイバー攻撃の防ぎ方

3つの失敗例に学ぶ「脆弱性診断」を見極めるポイント

2018.11.28

セキュリティサービスを見きわめる方法

3つの失敗例に学ぶ「脆弱性診断」を見極めるポイント

セキュリティ対策の「As-is」「To-be」の考え方とは

2018.11.22

グローバルなIT基盤を最適化する仕組み

セキュリティ対策の「As-is」「To-be」の考え方とは

年間36万円でサイバー保険付き!CSIRT運営の力強い味方とは

2018.11.07

セキュリティリソースの不足をいかに補うべきか?第2回

年間36万円でサイバー保険付き!CSIRT運営の力強い味方とは

テレワークの不安を解消する、ゼロトラストの“組み合わせ”はこれだ!

2021.03.05

セキュリティ対策に求められる新たな視点第23回

テレワークの不安を解消する、ゼロトラストの“組み合わせ”はこれだ!

ビッグデータ基盤をセキュリティ対策として使う方法とは

2021.02.09

セキュリティ対策に求められる新たな視点第22回

ビッグデータ基盤をセキュリティ対策として使う方法とは

暗号化ZIPをメールで添付する方式の何が問題か?

2021.02.02

今知っておきたいITセキュリティスキルワンランクアップ講座第25回

暗号化ZIPをメールで添付する方式の何が問題か?

SaaS利用によって生じる課題をワンストップで解決する方法がある

2021.01.27

DXを加速させるITシステムの運用改革第34回

SaaS利用によって生じる課題をワンストップで解決する方法がある

取引先のテレワークのセキュリティに不安が5割超–IPAが調査

2021.01.25

IT&ビジネス最新ニュース第101回

取引先のテレワークのセキュリティに不安が5割超–IPAが調査

SOMPOひまわり生命は“無害化”で安全にWeb閲覧できるセキュリティを実現

2021.01.20

セキュリティ対策に求められる新たな視点第21回

SOMPOひまわり生命は“無害化”で安全にWeb閲覧できるセキュリティを実現

ゼロトラストで“リモートワークをオフィス並み”にセキュアにする方法

2021.01.08

セキュリティ対策に求められる新たな視点第20回

ゼロトラストで“リモートワークをオフィス並み”にセキュアにする方法

日本のセキュリティリーダーシップに求められる3つのこと

2020.12.14

IT&ビジネス最新ニュース第89回

日本のセキュリティリーダーシップに求められる3つのこと