update it, Inc.社長のブログ

サーバ証明書って信用できますか？

いまや誰でも当たり前のようにネットでお買い物する時代になってきました。Webでお買い物をする場合、個人情報やクレジットカード番号などの重要な情報をやり取りする場面ではSSLの仕組みを使って暗号化していますが、この仕組みが利用しているサーバ証明書ってどの程度信用できるものなのでしょうか？

つまり、Webブラウザ上でお金を振り込もうとしている相手が、本当に自分が想定している相手と同一であるということが、果たしてサーバ証明書で証明できるものなのでしょうか？

サーバ証明書を発行する場合でもいろいろとやり方があるようで、厳格に審査を経た上で発行されるものもあるようですが、あまり厳格なチェックを経ずに発行されるやり方もあるようです。商法が改正されて商号が比較的自由になった現在、相手を認証するための仕組みとしてはあまり信用してはいけない情報になっているように思えます。

一方で、一般のユーザは、とりあえずURLがhttps://で始まっていれば安心と思い込んでいる人が多いのではないでしょうか？　https://で始まっているということは、通信がSSLにより暗号化されているため、第3者に盗み見されないということは言えます。でも通信している相手が本当に想定している相手かどうかを保障しているとは言い難い、というわけです。でも、このことを理解しているユーザは少ないのではないでしょうか？

どの会社の発行した、どのようなタイプの証明書だから信頼できる、なんてことを一般のユーザは理解していないと思いますし、インフラなのにも関わらず、いちいちそんなことをチェックしないと使えない仕組みというのも何か変です。

こういった部分にこそ、公的機関が監査できるような法整備がなされるべきだと思うのですが…　皆さんどう思いますか？

---