SSL証明書を使用して双方向認証を実装する方法

双方向 SSL 証明書とは何ですか?

SSL/TLS 証明書は、ユーザーのブラウザと Web サイト サーバー間のデータ転送を保護するために使用されます。ほとんどの人がこれらの証明書について話すとき、通常はサーバーに対してクライアントを認証するために使用されるサーバー証明書について言及しています。しかし、クライアント認証を実行する必要がある場合、つまりブラウザに対してクライアント認証が必要な場合はどうすればよいでしょうか。このような場合に、双方向 SSL 証明書 (または「双方向 SSL」) が役立ちます。

なぜ双方向 SSL 証明書を使用する必要があるのでしょうか? 両方の種類の証明書を使用すると、両者間の相互認証が容易になるためです。双方向 SSL 証明書は、標準の SSL 証明書とは異なります。双方向 SSL 証明書は、実際には個人認証証明書 (PAC) と呼ばれます。

双方向 SSL 証明書とは何かを理解したところで、一方向 SSL と双方向 SSL 認証プロセスの意味、動作原理、使用法についてさらに詳しく見ていきましょう。

一方向 SSL 認証は従来の SSL/TLS 証明書ではどのように機能しますか?

すべての通信には、ブラウザと接続先の Web サイトという 2 つのエンドポイントが関係します。クライアントとサーバー。一方向 SSL 認証では、1 つのエンドポイント (サーバー) の ID のみが検証されます。ウェブサイトを開こうとすると、ブラウザはウェブサイトの SSL 証明書をチェックしてウェブサイトのサーバーの正当性を検証します。一方向 SSL 証明書は、サーバー認証証明書とも呼ばれます。

一方向 SSL 認証では SSL ハンドシェイク プロセスはどのように行われますか?

ユーザーが Web ブラウザで Web サイトに接続しようとすると、ブラウザは Web サイトのサーバーへの HTTPS 接続を確立しようとします。サポートされている暗号スイートを ClientHello プロセスでサーバーに送信します。

2. サーバーは、公開証明書 (SSL/TLS 証明書) をブラウザーに送信して応答します。

3. ブラウザは証明書が正当なものであるかどうかを確認します（たとえば、最新のアルゴリズムをサポートしているか、正しく構成されているかなど）。

4. ブラウザは、事前にインストールされたルート リポジトリからの CA 署名の有効性をチェックします。

5. すべてが正常であれば、SSL ハンドシェイク プロセスが完了し、ブラウザはセッション キーを生成します。

前述のように、SSL ハンドシェイク プロセス全体を通じて、サーバーの SSL 証明書のみが検証されます。基本的に、このプロセスにより、ブラウザは正しい Web サイト サーバーに接続していること、およびすべてのデータが安全な接続を介して指定された Web サイトにのみルーティングされることを確認できます。

双方向 SSL 証明書と一方向 SSL 証明書の違いは何ですか?

どちらの SSL モードでも、クライアントとサーバーの ID は SSL ハンドシェイク プロセス中に検証されます。そのため、相互認証 SSL 証明書と呼ばれます。ここで、SSL ハンドシェイク プロセスを実行する 2 つの異なる方法を検討してみましょう。

ユーザーが Web ブラウザで Web サイトに接続しようとすると、ブラウザは Web サイトのサーバーへの HTTPS 接続を確立しようとします。サポートされている暗号スイートを ClientHello プロセスでサーバーに送信します。

2. サーバーは公開証明書を送信して応答し、SSL/TLS 証明書をブラウザに送信します。

3. ブラウザは、証明書が正当なものであるか、期限切れまたは取り消されていないか、最新のアルゴリズムをサポートしているか、正しく構成されているかなどをチェックします。

4. その後、ブラウザは、プリインストールされたルート リポジトリからの証明機関の署名の有効性を確認します。

5. サーバーの認証に成功すると、クライアント (ブラウザ) 自体が公開証明書をサーバーに送信します。

6. サーバーはブラウザ証明書と CA の署名の有効性を検証します。

7. すべてが正常であれば、SSL ハンドシェイク プロセスが完了し、ブラウザはセッション キーを生成します。

ご覧のとおり、双方向 SSL 証明書では、SSL ハンドシェイク プロセスに 2 つの追加手順が含まれます。

クライアントがサーバーの ID を確認すると、サーバーもクライアントの ID を確認する機会が与えられます。ここでは、両当事者がそれぞれ独自の SSL 証明書を持ち、公的に信頼された証明機関によって署名される必要があります。

SSL ハンドシェイク プロセスが一方向 SSL と双方向 SSL でどのように異なるかを理解したところで、次に、なぜ双方向証明書が必要なのかという疑問が生じます。双方向証明書は、Web サイトが安全に対話できるクライアントを選択するために使用されます。

たとえば、組織のイントラネット サイトは通常、従業員が情報にアクセスしたり、公式事項について通信したりするために存在します。組織は、このような内部サイトに誰もアクセスできないようにし、閲覧者を制限したいと考えています。さらに、非アクティブなアクセスのリスクをさらに減らすために、従業員は公式デバイスからサイトにアクセスする必要があります。

この場合、組織は双方向 SSL 証明書を使用して、Web サイトへのアクセスを許可する前に顧客を認証できます。また、企業はこれを使用して、Web サイトをサイバー犯罪者やボットからクリーンアップすることもできます。

結論は：

双方向 SSL 証明書は通常、組織内の内部通信に使用されます。たとえば、すべての従業員のデバイスに単一の S/MIME または個人認証証明書がある場合、2 つのエンドポイント間の通信を誰も傍受して読み取ることはできません。 SSL 証明書に関しては、一部の組織では、特定の地理的な場所からの特定のユーザーまたは Web サイト訪問者をブロックするためにこれを使用しています。いずれにしても、双方向 SSL または S/MIME などのその他の双方向証明書は、内部および外部の通信に強力なセキュリティを提供します。