Bizコンパス

3種類のサーバー証明書「DV」「OV」「EV」の違いは?
2019.06.04

今知っておきたいITセキュリティスキルワンランクアップ講座第12回

3種類のサーバー証明書「DV」「OV」「EV」の違いは?

著者 北河 拓士

 前回記事では、「なぜサイト全体をHTTPS化する必要があるのか?」について解説しました。今回はHTTPS化をするにあたって必要となる「サーバー証明書」について解説してみたいと思います。

 認証局から発行されるサーバー証明書は、認証局が運営組織の実在性を確認する度合いによって「DV(Domain Validation)証明書」、「OV(Organization Validation)証明書」、「EV(Extended Validation)証明書の」3つに別れます。DV証明書では申請者がドメインを所有していることのみを審査し組織が実在するかどうかは審査しません。OV証明書では第3者機関のデータベースや電話連絡などにより組織の実在性を審査します。EV証明書では、OV証明書より更に厳格に組織の実在性を審査します。

 3種類で異なるのは組織の実在性の審査の度合いだけで、その組織やサイトが行っているビジネスの正当性やそのサイトの安全性はいずれの証明書でも審査しません。また、証明書の種類により使われる暗号強度などに違いがあるわけではありません。

【3種類の証明書の違い】

 

DV(Domain Validation)証明書

 DV証明書は、申請者が証明書に記載されたドメインを所有していることのみを審査し、組織が実在しているかの審査は行いません。ドメイン所有の審査はメールアドレス宛に届く承認URLをクリックすることや、Webサーバーに指定された認証用の文字列を記載したファイルをアップロードすることなどで行われます。

 DV証明書は商用の認証局から購入することもできますが、無料でDV証明書を提供するLet’s Encrypt という認証局も登場しています。

 Let’s Encryptは、非営利団体のISRG (Internet Security Research Group) が運営する認証局で、電子フロンティア財団 (EFF)、Mozilla Foundation、アカマイ・テクノロジーズ、シスコシステムズなどがスポンサーとして名を連ねています。2016年4月からDV証明書の発行を開始し、2019年5月時点で1億7千万以上のドメインの証明書を発行するまでに拡大しています。

【Let’s Encryptの成長】

 

政府機関や大手企業もDV証明書を利用

 DV証明書は、運営組織の実在性を確認しないことから個人向けと言われていますが、個人だけではなく、政府機関や大手企業のサイトでもDV証明書を使用しているところが増えています。

 たとえば、日本の… 続きを読む… 続きを読む

続きを読むには会員登録が必要です

北河 拓士

北河 拓士

NTTコミュニケーションズ株式会社
経営企画部 マネージドセキュリティサービス推進室

コンピュータベンダーでのシステム開発、セキュリティベンダーでのセキュリティコンサルティング、脆弱性診断などを経て、2010年よりNTTコミュニケーションズのセキュリティサービスWideAngleにて、脆弱性診断を担当

関連キーワード

SHARE

あなたへのおすすめ

フォーティネットに聞く、2019年版サイバー攻撃の防ぎ方

2019.05.17

セキュリティ対策に求められる新たな視点第5回

フォーティネットに聞く、2019年版サイバー攻撃の防ぎ方

3つの失敗例に学ぶ「脆弱性診断」を見極めるポイント

2018.11.28

セキュリティサービスを見きわめる方法

3つの失敗例に学ぶ「脆弱性診断」を見極めるポイント

セキュリティ対策の「As-is」「To-be」の考え方とは

2018.11.22

グローバルなIT基盤を最適化する仕組み

セキュリティ対策の「As-is」「To-be」の考え方とは

年間36万円でサイバー保険付き!CSIRT運営の力強い味方とは

2018.11.07

セキュリティリソースの不足をいかに補うべきか?第2回

年間36万円でサイバー保険付き!CSIRT運営の力強い味方とは