サーバー証明書を発行する認証局

サーバー証明書を取得してWWWサーバにインストールし、SSL通信をさせるような仕事を何件かやってきましたが、仕組みというか、基本というかが良く分かっていませんので教えてください。「SSL通信をしたいので設定してください」という依頼が多いので、主にSSL通信をするという観点で証明書を扱っています。

仕事で扱っているのは法人用のサーバー証明書なんですが、ひとくちにサーバー証明書と言っても、企業の実在証明を確認するものや、実印の捺印が必要なもの、ハンコ等は不要でメールの往復だけで発行されるものなど、色々なものがあるようです。個人向けの証明書では無料で取得できるものもあるようです。

厳密性？というのかわかりませんが、ネット上で使われている証明書は色々なレベルのものが混在していることになります。サーバー証明書の厳密性の違いは、実際に使われる時にどのような違いとなって現れてくるのでしょうか。

企業の実在証明をしていない証明書がなければ通信できない、とか、実印が確認されている証明書があれば通信できるとか、そのような区別はされていなくて、単に証明書があればSSL通信ができるというような感じに見えます。

実際のところ、区別されていないのでしょうか。SSL通信をするという範囲では、極端に言うと証明書は何でも構わない、ということなのでしょうか。

No.1 ベストアンサー 回答者： hiroaki_0 回答日時： 2005/08/22 11:35

ブラウザに「信頼できる証明書発行機関」として登録されている発行機関が発行したものであれば、「何でもかまわない」です。

その発行機関が、どのような方法でそのサーバーを認証しているかは関係ありません。

とりあえずSSLで通信をしたい　というだけであれば、はんこ不要のところの証明書で十分です。

No.3 回答者： entree 回答日時： 2005/08/23 10:29

hiroaki0さんがおっしゃっているように、

> ブラウザに「信頼できる証明書発行機関」として登録
> されている発行機関が発行したものであれば、「何で
> もかまわない」です。

登録されていなければユーザ自らに登録してもらうことさえできます。（非常に危険な行為ですが）

きちんと審議した上で発行するか、いい加減な基準で発行するかは認証局によって異なるでしょうが、それは信用の問題だけです。信用されない認証局は次バージョンのブラウザにデフォルトで登録してもらえないかもしれません。

あと、ActiveX等を実行する場合は、信用された認証局による証明書があっても受け入れるかどうかの確認を求められます。そんなとき、信用されない認証局の証明書が表示されたら誰も信用しない（？！）でしょう。

No.2 回答者： samekomon 回答日時： 2005/08/23 09:47

SSL通信は単にサーバーとしてhttps通信が可能な

サーバーであって、そのサーバーを所有する団体が
実在するかどうかは別の話です。

認証機関に頼まなくてもOSレベルでSSL通信の設定は
可能と言う話を聞いた事もあります。

ジオトラストなどの場合SSL通信のみと
実在証明付で費用が大分変わってきます。
ベリはセキュアーサーバー、グローバルサーバー共に
セットになっていたかと思います。
帝国データバンクの企業コードがあれば
登記簿謄本や実印等は不要ですし。