SSL/TLS 証明書を理解する
DV / OV / EV、ワイルドカード / マルチドメイン、CSR・秘密鍵・中間 CA とは?
SSL/TLS 証明書を選ぶ・運用する上で知っておきたい基礎知識を初心者向けに解説します。
🌐 SSL/TLS とは?
SSL(Secure Sockets Layer)/ TLS(Transport Layer Security)は、インターネット上での通信を暗号化し、通信相手を認証するためのプロトコルです。Webブラウザがアドレスバーに 🔒鍵アイコン を表示しているのは、SSL/TLS で通信が保護されている証です。
🛡️ 認証レベル:DV / OV / EV
SSL/TLS 証明書は、認証の厳格さによって3種類に分かれます。
| 種類 | 正式名称 | 認証内容 | 発行時間 |
|---|---|---|---|
| DV | Domain Validation (ドメイン認証) | ドメインの保有のみ確認 | 最短数分 |
| OV | Organization Validation (企業認証) | ドメイン + 組織の実在性を認証局が審査 | 数営業日〜1週間 |
| EV | Extended Validation (厳格認証) | OV + 公的書類による法的実在の確認 | 1〜2週間 |
👤 DV(ドメイン認証)
「このドメインを所有していること」だけを確認します。ドメイン管理者のメールアドレス(admin@example.com 等)への返信、または DNS にレコードを追加するなど、ドメイン管理権限の証明だけで発行されます。
- ✅ 個人サイト・ブログに最適
- ✅ 最短数分で発行
- ✅ 価格が安い(1,210円〜)
- ❌ 運営組織の身元は確認されない
🏢 OV(企業認証)
「このドメインを所有」かつ「実在する組織が運営」していることを認証局が審査します。組織情報は証明書のプロパティに記載され、ブラウザの鍵アイコンから確認できます。
- ✅ 法人サイト・コーポレートサイトに最適
- ✅ 訪問者から見て信頼性が高い
- ✅ フィッシング対策として有効
- ⏰ 発行に数営業日〜1週間
🛡️ EV(厳格認証)
OV に加えて、公的書類による法的実在の確認まで行います。最も厳格な審査基準。フィッシング対策に最も有効。
- ✅ EC・金融機関・上場企業に最適
- ✅ フィッシングサイトとの差別化に最強
- ⏰ 発行に1〜2週間
🌐 カバー範囲:シングル / ワイルドカード / マルチドメイン
| 種類 | カバー対象 | こんな方に |
|---|---|---|
| 🎯 シングル | example.com + www.example.com | 1サイトのみ運営 |
| 🌐 ワイルドカード | *.example.comサブドメイン無制限 | サブドメインを多数運営 |
| 🌏 マルチドメイン | 異なるルートドメインを1枚で 例: example.com + example.jp | 複数の独立ドメイン |
www 付き / 無し両方カバー
当店で販売しているすべてのシングル証明書は、SAN(Subject Alternative Name)に example.com と www.example.com の両方が含まれます。どちらの URL でアクセスしても警告は出ません。
🔑 CSR・秘密鍵・中間 CA 証明書とは?
🔑 秘密鍵(Private Key)
サーバ側にのみ保管される機密情報。これとペアになる公開鍵をブラウザに送ることで、暗号化通信が成立します。絶対に第三者に渡さないでください。
📋 CSR(Certificate Signing Request、証明書署名要求)
「私はこの組織で、このドメインの証明書が欲しい」という申請書のようなもの。公開鍵と組織情報が含まれます。秘密鍵から生成され、認証局に送って証明書を発行してもらいます。
📜 サーバ証明書
認証局が発行する証明書本体。CSR の情報に認証局の電子署名が付いた形になります。サーバにインストールします。
🔗 中間 CA 証明書(Intermediate CA Certificate)
サーバ証明書とルート CA 証明書の間を繋ぐ証明書。これがインストールされていないと一部のブラウザで警告が出ます。
🏛️ ルート CA 証明書(Root CA Certificate)
各認証局の最上位証明書。ブラウザに最初から組み込まれているため、サーバには通常インストール不要です。
ルート CA 証明書(ブラウザに組み込み済み)
↓ 署名
中間 CA 証明書(サーバにインストール必要)
↓ 署名
サーバ証明書(サーバにインストール必要)
ブラウザは「ルート → 中間 → サーバ」と信頼の連鎖をたどって、最終的にサーバ証明書を信頼します。
⚡ 47日ルールとは?
2024年に CA/Browser Forum で正式決定された、SSL/TLS 証明書の有効期間短縮スケジュールです。
| 時期 | 最大有効期間 |
|---|---|
| 〜2018年 | 3年(825日) |
| 2018〜2020年 | 2年(825日) |
| 2020年9月〜 | 1年(397日) |
| 2026年3月以降 | 200日へ短縮 |
| 2027年3月以降 | 100日へ短縮 |
| 2029年3月以降 | 47日へ短縮 |
🔐 公開鍵暗号方式の基本
SSL/TLS は公開鍵暗号方式を使った認証 + 暗号化のプロトコルです。
🔑 公開鍵と秘密鍵
- 公開鍵: 誰でも知ってよい。証明書に含まれる。
- 秘密鍵: サーバだけが持つ。絶対に漏らさない。
- 公開鍵で暗号化したものは秘密鍵でしか復号できない(その逆も同じ)
🤝 TLS ハンドシェイクの流れ
- クライアント「TLS で繋ぎたい」
- サーバ「私の証明書(公開鍵入り)を渡す」
- クライアント「証明書を検証 → 信頼OK」
- クライアント「共通鍵を生成し、サーバの公開鍵で暗号化して送る」
- サーバ「秘密鍵で復号 → 共通鍵を入手」
- 以降、共通鍵で暗号化通信
🔢 鍵長と暗号アルゴリズム
RSA
- 古くからある公開鍵暗号方式
- 鍵長 2048bit が現在の標準(最低限)
- 4096bit を使うとさらに安全だが、計算が重い
ECC(楕円曲線暗号)
- RSA より新しい暗号方式
- 鍵長が短くても同等のセキュリティ
- P-256(≒ RSA 3072bit)/ P-384(≒ RSA 7680bit)
- ハンドシェイクが高速で、大規模サイトに有利
📚 もっと深く知りたい方へ
- 用途から証明書を選ぶ ── 実際の選び方
- ブランドから証明書を選ぶ ── 7ブランドの比較
- ACME 自動更新ガイド ── 47日ルール時代の運用
- ベストプラクティス ── 2026年版推奨設定