セキュリティ

中間証明書(SSL中間CA証明書)の注意点

SSLでは、セキュリティ向上の理由から3段階の認証が行われています。ブラウザ側にはルート証明書、Webサーバー側にはSSLサーバー証明書と中間証明書の2種類が必要です。ここでは、中間証明書を中心に、SSL設定不備に関して扱います。

SSL中間CA証明書

目次

SSLに不備がある場合のエラー表示

SSLを使用する場合、SSLサーバー証明書が正しく設定されていないとブラウザ上に警告が表示されます。また、正しく設定されていたとしても、Webページの中に非SSLのコンテンツ(画像やCSSファイル、JavaScriptファイルなど)が混在していると警告表示がなされます(下図)。

非SSL警告表示 非SSLのコンテンツが混在していると警告表示が出てきます。

このようなエラー表示が発生すると、せっかくのSSLの効果が半減するばかりか、ユーザーの不安を煽る原因にもなり、逆効果です。SSLを使う際には、正しく設定され、エラーや警告も表示されない事を確認することが必要となります。

見落としやすい中間証明書の設定不備

SSLの仕組みでは、ブラウザにあらかじめインストールされている「ルート証明書」とサーバー側にインストールする「SSLサーバー証明書」の2種類が必要です。最近では、これに「中間証明書」を加え、3種類の証明書を使用することが一般的になっています。というのも、2種類の証明書で認証するよりも、3種類(3階層)の証明書で認証した方がセキュリティが高くなるためです。しかし、ここにひとつ落とし穴があります。

SSLサーバー証明書と中間証明書は、2つともWebサーバー側に技術者が設定する必要があり、SSLサーバー証明書は正しく設定されないと絶対にエラーが発生します。それに対し、中間証明書は正しく設定されなかったとしてもエラーが発生しないケースがあるため、設定の不備を見落としやすいのです。

SSLサーバー証明書は、特定のサーバーに対して発行される証明書であるのに対して、中間証明書は共通で使用する証明書というのが見落としやすい原因となってます。最近のブラウザは賢いため、もし中間証明書が正しくサーバーに設定されていなくても、共通で使用される中間証明書の方は自動的に補うことができるため、本来はエラーとなるところ、特にエラーが起こらず、Webページにアクセスできてしまうといったことが起きるのです。

SSLサーバー証明書と中間証明書

アプリ内ブラウザが要注意

最近のブラウザは中間証明書が正しく設定されていなくても自動的に補完してくれると述べましたが、もしユーザーが古いブラウザで見ていた場合にはそのようにはいきません。また、スマホのアプリ内で動作するアプリ内ブラウザと呼ばれるブラウザはそれほど高機能でないこともあり、中間証明書が正しく設定されていないとエラーが発生しやすい傾向にあります。

アプリ内ブラウザは、たとえばLINEやFacebookなどのSNSアプリを使用している最中にブラウザアプリへ移動する事なくWebページを見られたりでき便利ですが、もしSSLエラーが発生してWebページが見られなくなってしまうと、せっかくシェアされたWebページが閲覧できないという大きな機会損失となってしまいます。

中間証明書の設定確認方法

中間証明書の設定不備をチェックする方法として、SSLのチェックツールを使用する方法があります。チェックツールはCA自身が提供するもののほかに第三者が公開しているものがありますが、いずれもWebサイト上で簡単にチェックができるものですので、使わない手はありません。

ここでは、Qualysというセキュリティ企業が公開している「Qualys SSL Labs」のSSL Server Testを紹介します。このサイトでは、チェックしたいサイトのURLを入力するだけでSSLの様々な設定を確認することができます。

SSL Labs Qualys SSL Labs

チェックした結果、Chain issuesという項目が「Incomplete」となっていると中間証明書に設定不備がある可能性が高いです。その他にも、様々な項目がチェックできるため、こういったツールを有効に活用し、自社のWebサイトのセキュリティ向上に役立ててください。

まとめ

中間証明書の概要についてご理解いただけたでしょうか。
SLLの設定がうまくいかなかったときは、この記事を参考にしながら問題点を探ってみてください。

自社サイトのセキュリティが心配、ハッキング対策をもっと図っておきたい、とお考えではありませんか?Webサイトのセキュリティについて何かお悩みがありましたら、ぜひITRAにご相談ください。

関連記事

この記事の著者

itra
ITRA株式会社

官公庁や大手企業を中心とした大規模なWebサイトを総合的にプロデュースするWeb制作会社。デザインからシステム、サーバーまでWebサイトに関わるお客様の悩みを解決します。