SSL証明書管理とは何か、どのように導入するか

100%HTTPSの実装に向けて、ウェブサイト所有者は、すべてのTLS/SSL証明書を手動で管理、維持しなければならないという課題に直面しています。 企業にとって、使用するTLS/SSL証明書の数が増えれば増えるほど、証明書のライフサイクルを効果的に、大規模に管理すること難しくなります。 また、手作業はミスが発生しやすく、すぐにコストがかさみます。 TLS/SSLプロバイダーは、その負担を軽減し、証明書のライフサイクル全体に渡って企業をサポートすることができます。

HTTP（Hypertext Transfer Protocol）は、ウェブサイトとウェブブラウザの間でデータを平文で転送するために使用されます。 HTTPSのリクエストとレスポンスは、TLS（SSL）証明書により暗号化されます。 HTTPSは、ウェブメールアプリケーション、アカウントログイン、eコマースなど、さまざまなアプリケーションで使用されています。

HTTPSについて詳しくはこちら。

ウェブサイトの身元を認証し、HTTPトラフィックを暗号化するためには、デジタル証明書（TLS/SSL証明書）が必要です。 Secure Sockets Layer、略してSSLは、サーバーとクライアント間のデータの流れを暗号化する通信路を作ります。 顧客情報を安全かつ非公開に保ち、転送中のデータを保護するために、すべてのウェブサイト所有者はTLS/SSL証明書を持つ必要があります。 SSL証明書は1990年代半ばに制定され、セキュリティ上の脆弱性が顕在化したため、より優れたプロトコルに進化しました。 Transport Layer Security、略してTLS v1.3が最新のプロトコルですが、ウェブサイト所有者はSSLという用語に慣れているため、SSLとTLSの両方を互換的に、またはTLS/SSL証明書などとして一緒に使用します。

TLSとSSL証明書についての詳細はこちら。

ネットワークに配置されたすべてのTLS/SSL証明書は、作成、配置、更新、期限切れ、使用など、そのライフサイクル全体を監視および管理する必要があり、そこでTLS/SSL証明書管理の出番となります。 IT管理者は、TLS/SSL証明書の完全な制御と可視性を提供するTLS/SSL証明書管理機能を持つことで、セキュリティ曲線の先を行き、コンプライアンスの問題、停止、違反の防止を図ることができるようになります。 TLS/SSL管理で最も重要なことの1つは、有効期限の監視です。 ウェブサイトの所有者としては、積極的に証明書を更新し、意図せずに証明書が失効してしまうことを避ける必要があります。 あなたがウェブサイトのオーナーで、証明書の更新を忘れたために、ウェブサイトがダウンし、アクセスできなくなり、停止している間、毎秒、お金が失われることを想像してください。 サイト訪問者には、TLS/SSL証明書の有効期限が切れたため、プライベート接続でなくなったというメッセージが表示されます。 そればかりか、ネット上に潜む情報漏えいなどの脅威の扉を開いてしまうことになります。 TLS/SSL証明書の量が増え、証明書の有効期間が短くなるにつれてライフサイクルステップの頻度が高くなり、TLS/SSL管理者の負担が大きくなる場合があります。

TLS/SSL証明書を手動で監視および管理することは、今日の環境ではスケーラブルではありません。 ウェブサイトの所有者は、TLS/SSL証明書が正しく設定され、運用されていることを確認するためのテストを継続的に実行し、堅牢な有効期限監視とアラートによってセキュリティの低下を回避できるツールと機能を必要としています。 TLS/SSLの資産を常に把握していないと、その代償は高くつきます。

TLS/SSL証明書には、ビジネスが必要とする検証レベルに応じて、6種類の証明書が存在します。

• 拡張検証（Extended Validation）証明書（EV TLS/SSL）
• 組織検証（Organization Validation）証明書（OV TLS/SSL）
• ドメイン検証（Domain Validation）証明書（DV TLS/SSL）
• Wildcard TLS/SSL証明書
• マルチドメインTLS/SSL証明書（MDC）/ユニファイドコミュニケーション証明書（UCC）

ウェブサイト所有者が自分でTLS/SSL証明書を管理することは非常に困難であることが分かりましたが、様々なドメインに複数のTLS/SSL証明書がある場合、または1つのドメインに複数のTLS/SSL証明書がある場合はどうなるのでしょうか。 例えば、期限切れのTLS/SSL証明書を新しいものに交換したいが、その一方でウェブサイトを無防備にしたくはない。 一般的には、証明書は特定のポート、例えばポート443（https）に手動でバインドする必要があります。 1つのサーバーに複数の証明書をインストールすることができますが、同時に使用できるのは1つの証明書のみです（1つのポート＝1つの証明書）。

TLS/SSLのライフサイクル（取得、導入、更新、期限切れ、利用）を管理するために、TLS/SSL証明書管理機能が必要です。 複数のTLS/SSL証明書を扱う場合でも、1つのTLS/SSL証明書を扱う場合でも、適切なTLS/SSL管理パートナーがそばにいれば、TLS/SSL管理は負担になりません。

ウェブサイトの所有者として、ビジネスと運用のニーズに合ったTLS/SSL証明書管理プロバイダーを選択することが重要です。 サイバーセキュリティを考える上で、価格は重要な要素ではありますが、要素はそれだけではありません。 Entrustは、TLS/SSL証明書管理プロバイダーを探す際に考慮すべき、大きな影響を持つ3つの要素を集めました。 ITプロフェッショナルが証明書管理プロバイダーを評価する際、以下の基準が最も影響を与えます。

1. TLS/SSLプロバイダーの長寿命化： ほとんどのOS、ブラウザ、デバイス、アプリケーションにおいて、市場で確立された歴史を持つTLS/SSL証明書を発行管理する、信頼できる公的な認証局を利用します。 証明書管理プロバイダーの強力なルートユビキタス性は、お客様のビジネスに信頼を広げ、ユーザーに対して強いレベルの信頼性を提供します。
2. サポート： TLS/SSL証明書管理プロバイダーを探す場合、プロバイダーがどのようなサポートを提供できるかを知ることが重要です。 あなたのタイムゾーンや言語でのサポートを提供してくれますか？ 24時間365日サポートへのアップグレードオプションを含む、段階的なサポートモデルを提供していますか？ どのようなチャネルで顧客とコミュニケーションをとっていますか、また、さまざまな深刻度に対してどのようなSLAを提供していますか？
3. パッケージ全体： TLS/SSL証明書管理プロバイダーを評価する際、そのプロバイダーが提供するさまざまなカテゴリーの製品やサービスを検討することには価値があります。 複数のソリューションを提供できる1つのサイバーセキュリティベンダーと連携することは、スケールメリットにつながり、長期的に費用対効果が高くなる可能性があります。 TLS/SSL証明書プロバイダーの中には、以下のようなサイバーセキュリティの他の分野で役立つ追加サービスや製品カテゴリーを提供しているところがあります。 ID認証、ID発行、ユーザーID、マシンID、電子署名、金融発行、デジタルカードソリューション、データベースセキュリティ、マルチクラウドセキュリティ。