Webサイトで使用するサーバ証明書(TLS/SSL証明書)の種類について、整理した内容を書き留めておきたいと思います。
1. 証明書の種類
証明書の種類として、以下の種類があります。
- DV証明書(DV:Domain Validation、ドメイン検証)
- OV証明書(OV:Organization Validation、組織検証)
- IV証明書(IV:Individual Validation、個人検証)
- EV証明書(EV:Extended Validation、拡張検証)
2. 各証明書の特徴やサブジェクト(件名)
各証明書の特徴は以下となります。なお、TLS/SSLの暗号化強度に違いはありません。
| 種類 | 認証方法 | 認証レベル | 暗号化強度 |
|---|---|---|---|
| DV証明書 | ・ドメイン認証 | 低 | 同じ |
| OV証明書 | ・ドメイン認証 ・組織実在認証(会社名、所在地) |
中 | 同じ |
| IV証明書 | ・ドメイン認証 ・個人実在認証(個人名、住所) |
中 | 同じ |
| EV証明書 | ・ドメイン認証 ・組織実在認証(会社名、所在地) ・電話認証(在籍確認、会社運用状況確認) |
高 | 同じ |
2.1. DV証明書(DV:Domain Validation、ドメイン検証)
DV証明書は、ドメイン名が正しいかどうかのみを証明します。
ドメインを運用する組織や個人の証明はしないため、認証レベルは低いです。
DV証明書(OID: 2.23.140.1.2.1)のサブジェクト(件名)の要件は次の通りです。
- 含んでもよいフィールド
- commonName (OID: 2.5.4.3) コモンネーム
- countryName (OID: 2.5.4.6) 国コード
- 含んではいけないフィールド
- organizationName (OID: 2.5.4.10) 組織名
- givenName (OID: 2.5.4.42) 名
- surname (OID: 2.5.4.4) 姓
- streetAddress (OID: 2.5.4.9) 市区町村より下位の住所
- localityName (OID: 2.5.4.7) 市区町村名
- stateOrProvinceName (OID: 2.5.4.8) 都道府県名
- postalCode (OID: 2.5.4.17) 郵便番号
2.2. OV証明書(OV:Organization Validation、組織検証)
OV証明書は、ドメイン名に加え、証明書を取得する組織が実在することを証明します。そのため認証レベルは高いです。
OV証明書(OID: 2.23.140.1.2.2)のサブジェクト(件名)の要件は次の通りです。
- 含んでもよいフィールド
- commonName (OID: 2.5.4.3) コモンネーム
- streetAddress (OID: 2.5.4.9) 市区町村より下位の住所
- postalCode (OID: 2.5.4.17) 郵便番号
- 含まなければならないフィールド
- organizationName (OID: 2.5.4.10) 組織名
- countryName (OID: 2.5.4.6) 国コード
- localityName (OID: 2.5.4.7) 市区町村名
2.3. IV証明書(IV:Individual Validation、個人検証)
IV証明書は、OV証明書の個人版です。
IV証明書は、ドメイン名に加え、証明書を取得する個人が実在することを証明します。そのため認証レベルは高いです。
IV証明書(OID: 2.23.140.1.2.3)のサブジェクト(件名)の要件は次の通りです。
- 含んでもよいフィールド
- commonName (OID: 2.5.4.3) コモンネーム
- streetAddress (OID: 2.5.4.9) 市区町村より下位の住所
- postalCode (OID: 2.5.4.17) 郵便番号
- 含まなければならないフィールド
- (「organizationName (OID: 2.5.4.10) 組織名」)または(「givenName (OID: 2.5.4.42) 名」および「surname (OID: 2.5.4.4) 姓」)
- countryName (OID: 2.5.4.6) 国コード
- localityName (OID: 2.5.4.7) 市区町村名
- stateOrProvinceName (OID: 2.5.4.8) 都道府県名
2.4. EV証明書(EV:Extended Validation、拡張検証)
EV証明書は、ドメイン名に加え、証明書を取得する組織が実在することを証明します。
EV証明書では、OV証明書の認証に加えて、組織の稼働状態、住所および電話番号を審査して、申請者の雇用状態も確認する必要があるため、認証レベルは最も高いです。
EV証明書(OID: 2.23.140.1.1)のサブジェクト(件名)の要件は次の通りです。
- 含んでもよいフィールド
- commonName (OID: 2.5.4.3) コモンネーム
- streetAddress (OID: 2.5.4.9) 市区町村より下位の住所
- postalCode (OID: 2.5.4.17) 郵便番号
- organizationIdentifier (OID: 2.5.4.97) 組織識別子
- 含まなければならないフィールド
- serialNumber (OID: 2.5.4.5) シリアルナンバー(日本の場合は会社法人等番号)
- countryName (OID: 2.5.4.6) 国コード
- localityName (OID: 2.5.4.7) 市区町村名
- stateOrProvinceName (OID: 2.5.4.8) 都道府県名
- organizationName (OID 2.5.4.10) 組織名
- businessCategory (OID: 2.5.4.15) ビジネスカテゴリー
- 「jurisdictionCountryName (OID: 1.3.6.1.4.1.311.60.2.1.3) 法人の管轄国名」または「jurisdictionStateOrProvinceName (OID: 1.3.6.1.4.1.311.60.2.1.2) 法人の管轄州または県名」または「jurisdictionLocalityName (OID: 1.3.6.1.4.1.311.60.2.1.1) 法人の管轄区域名」
3. 各証明書の例(chromeブラウザで表示)
3.1. DV証明書
DV証明書を見てみます。
chromeブラウザで「Qiita」のページを開き、URLの左の鍵マークをクリックし、「この接続は保護されています」をクリックします。
「証明書は有効です」をクリックします。
DV証明書の場合、「一般名(CN)」のみ表示されます。
「詳細」タブの「件名」を見てみます。
DV証明書の場合、「CN(Common Name)」のみ設定されています。
3.2. OV証明書
OV証明書を見てみます。
chromeブラウザで「Yahoo! JAPAN」のページを開き、URLの左の鍵マークをクリックし、「この接続は保護されています」をクリックします。
「証明書は有効です」をクリックします。
OV証明書の場合、「一般名(CN)」と「組織(O)」が表示されます。
※「組織単位(OU)」は2022年9月1日以降に発行する証明書から利用禁止となっています。
「詳細」タブの「件名」を見てみます。
CN = edge01.yahoo.co.jp
O = LY Corporation
L = Chiyoda-ku
ST = Tokyo
C = JP
OV証明書の場合、
CN(Common Name)、
O(Organization Name)、
L(Locality Name)、
ST(State or Province Name)、
C(Country)
が設定されています。
3.3. EV証明書
EV証明書を見てみます。
chromeブラウザで「ノートン公式」のページを開き、URLの左の鍵マークをクリックし、「この接続は保護されています」をクリックします。
EV証明書の場合、「証明書は有効です」の下に発行先の組織名が表示されます。
「証明書は有効です」をクリックします。
EV証明書の場合も、「一般名(CN)」と「組織(O)」が表示されます。
「詳細」タブの「件名」を見てみます。
CN = www.norton.com
O = Gen Digital Inc.
L = Tempe
ST = Arizona
C = US
serialNumber = 2158113
businessCategory = Private Organization
jurisdictionStateOrProvinceName = Delaware
jurisdictionCountryName = US
EV証明書の場合、OV証明書で設定されていた
CN(Common Name)、
O(Organization Name)、
L(Locality Name)、
ST(State or Province Name)、
C(Country)
に加え、
serialNumber、
businessCategory、
jurisdictionStateOrProvinceName、
jurisdictionCountryName
が設定されています。
参考
- DV、OV、IV、およびEV証明書
- DV証明書/OV証明書/EV証明書の確認方法
- EV証明書、OV証明書、IV証明書、DV証明書の違い【サーバー証明書】
- EVサーバー証明書のサブジェクト(発行先情報)
- 今さら聞けない SSL 証明書とは、DV、OV、EV や常時 SSL について
- SSL/TLS サーバー証明書の認証レベルとは?
- SSL 証明書の DV、OV、
EV とは何ですか? - OID 2.5.4.3 の参照レコード
以上