【SSL】業務システムには、CA署名型or自己証明型 どちらが適していますか？

理想的なのは、社内専用のルートCA(認証局)を作成し、社内の端末セットアップ時に予め信頼できるCAであるとしてCA証明書を信頼済みに登録しておくことです。社内専用ルートCA自体に高度な知識と厳密な運用が求めら、また、システム構築等の費用もかかりますが、大企業であれば、一つ一つ証明書を発行するよりも安あがりになる場合があります。社内専用ルートCAは、サーバー証明書の発行だけではなく、

• 個人証明書も発行できるようになるため、個人認証が必要になるシステムをユーザー・パスワードから個人証明書を使った認証に切り替える。
• HTTPSプロキシに組み込むことで、HTTPS接続でもコンテンツ内容をウィルスチェックなどを行う。

と言ったことが可能になり、社内全体のセキュリティ向上も望めます。

実際に、大企業では上のような運用をしているところはあります。しかし、サーバー証明書を二つ三つ買う費用以上に社内専用ルートCAには経費がかかりますので、数十台、数百台と必要になるとか、数千人、数万人規模の個人証明書が必要になるとか、そういったレベルでないと費用対効果は薄いでしょう。数台だけなら、まだ、サーバー証明書を買った方がマシです。

さて、自己署名証明書の問題は、その信頼性です。せっかく暗号化しても接続先のサーバーが偽者であったら意味がありません。会社の中に侵入し、LANケーブルの端に何か一つ噛ませるだけで、情報を抜き出すことが可能になってしまいます。

これを防ぐには自己署名証明書であっても、信頼済みとして登録しておくことです。全ての端末に自己署名証明書を登録しておけば、偽者が噛まされていてもエラーが出るのですぐに分かります。使う端末が数台程度であれば、これで十分です。証明書を更新する場合も、同じように登録し直しが必要ですが、そこは必要経費と思ってください。つまり、信頼性を得るには結局費用がかかります。それが証明書の費用なのか、登録にまわっていく人件費なのかの違いです。

また、この登録は証明書毎に必要です。新しいサーバーを作って違う名前になるのであれば、また、一つ一つ端末を回って登録していく必要があります。これが嫌ならちゃんと買うしか有りません。

最初に述べた社内専用ルートCAの利点は、ルートCAのみを登録すればいいと言うことです。他にもルートCAの切り替えとかの注意点があるのですが、基本的には最初のセットアップ以外はほぼ手間が不要になります。いくつのサーバーを立てようとも、その証明書を登録するために端末を回る必要はありません。

ということで、規模によって切り替えていくのがいいと思います。

• サーバーは少なく、端末も少ない⇒自己署名証明書を使用し、一つ一つの端末に登録していく。
• サーバーは少ないが、端末は多い⇒正式証明書を購入
• サーバーは多く、端末も多い⇒社内専用ルートCA証明書
• サーバーは多いが、端末は少ない⇒上三つで費用面を比較

もう一つの選択として、数量無制限(サーバー数ではなく発行数が無制限)で証明書を発行できるサービスを使うという手があります。そもそも外部公開のサーバーがたくさんあるのであれば、その方が安上がりになる可能性はあります。ただ、サービスを提供していたトレンドマイクロはSSL証明書事業そのものを譲渡してしまったようで、学術機関のみが使えるUPKI以外にそのようなサービスをしているところは見当たりませんでした。

その他、ブラウザからのアクセスのみなら、ワイルドカード証明書を使い回すという方法も一応はありますが、ワイルドカード証明書自体が推奨されていないようですので、あまりお勧めはできません。

なお、無償で使えるLet's Encryptは公開されているサーバー(主にWebサービス)での取得を前提にしているため、発行時のドメイン確認にそのドメインへWebアクセスが必須になっています。そのため、一時的にも社内専用のサーバーが外部に公開されることになりますので、ご注意ください。