ウェブサイトで自己署名証明書を使用するとどのような危険がありますか?

自己署名証明書とは、OpenSSL 関連のツールを使用して信頼されていない組織または個人によって発行された SSL 証明書を指します。自己署名 SSL 証明書は信頼できる証明機関 (CA) によって発行されたものではないため、ブラウザーによって信頼されず、重大なセキュリティ上の脆弱性があります。このような証明書をインストールする Web サイトは攻撃に対して脆弱です。

ウェブサイトで自己署名証明書を使用するとどのような危険がありますか?

自己署名証明書は中間者攻撃に対して脆弱である

自己署名 SSL 証明書はブラウザによって信頼されないため、ユーザーが自己署名証明書の Web サイトにアクセスすると、ブラウザはセキュリティ警告を発行して、この証明書は信頼されていないことをユーザーに通知し、証明書を信頼するかどうかを手動で確認する必要があります。ユーザーは信頼をクリックした後にのみ Web サイトの閲覧を続行できますが、これは中間者攻撃の潜在的な危険をもたらします。

SSL 中間者攻撃とは、通常、中間者とユーザーまたはサーバーが同じローカル エリア ネットワーク内にある状況を指します。中間者は、ユーザーの SSL データ パケットを傍受し、偽のサーバー SSL 証明書を作成してユーザーと通信し、ユーザーのアカウントや入力されたパスワードなどの個人情報を取得することができます。サーバーが自己署名証明書を使用している場合、ユーザーは次のステップに進むには「信頼」をクリックする必要があると考え、攻撃者が作成した偽の証明書をクリックする可能性が高くなります。このようにして、重要なアカウントのパスワードやその他の情報が攻撃者に取得され、大きなセキュリティリスクが生じます。したがって、自己署名証明書の使用は推奨されません。

2. 自己署名証明書は偽造や変造が容易であり、フィッシングサイトで使用される可能性がある。

自己署名 SSL 証明書は、監視・審査する第三者機関 (CA 機関) がなく、任意に発行できるため、攻撃者が簡単になりすまして偽造し、フィッシング サイトで使用して訪問者に損失を与える可能性があります。

信頼できる CA 組織によって発行された SSL 証明書は、主要なブラウザのセキュリティ監査に合格でき、一意であり、偽造できません。フィッシング Web サイトが偽造された証明書を使用すると、ブラウザには信頼性の高いセキュリティ検証メカニズムが備わっており、偽造された証明書を自動的に識別し、セキュリティ警告をポップアップ表示して、この証明書は信頼できないため、すぐに閲覧を停止することを推奨することをユーザーに通知します。

3. 自己署名証明書には失効リストがアクセスできない

自己署名 SSL 証明書の生成は非常に簡単で、OpenSSL ツールを使用して数分で実行できます。 SSL 証明書の正常な動作を保証するために必要な機能の 1 つは、証明書にブラウザからアクセスできる証明書失効リストが含まれていることです。有効な失効リストがない場合、証明書が紛失または盗難され、失効できない場合、証明書が違法な目的に使用され、ユーザーに損失をもたらす可能性が高くなります。

自己署名 SSL 証明書には多くのセキュリティ リスクがあるため、Web サイトでは自己署名証明書を使用しないことを強くお勧めします。信頼できる CA 組織 (DigiCet、GeoTust、GloblSign など) が提供する、安全性が高く互換性のある SSL 証明書を使用することをお勧めします。Web サイトに金融取引が含まれる場合は、ユーザーの金融取引のセキュリティを効果的に保護できる、最高レベルのセキュリティ EV SSL 証明書を使用することをお勧めします。