サーバ認証とは何ですか？

クライアントがサーバーの身元を確認する認証方式。HTTPS通信では必ず行われており、フィッシングサイトや中間者攻撃からユーザーを守る基本的な仕組み。

サーバ認証のポイントは？

HTTPS通信では、サーバーがSSL/TLS証明書を提示してクライアントが検証する。ブラウザのアドレスバーに表示される鍵マークがサーバ認証成功の証。認証局（CA）が発行した証明書を使って、サーバーが本物かどうかを判断する。Let's Encryptの登場で、無料でサーバ証明書を取得できるようになった

【さーばにんしょう】

サーバ認証とは？

💡 ブラウザの鍵マークは、お店の営業許可証を確認しているようなもの

📌 このページのポイント

HTTPS通信では、サーバーがSSL/TLS証明書を提示してクライアントが検証する
ブラウザのアドレスバーに表示される鍵マークがサーバ認証成功の証
認証局が発行した証明書を使って、サーバーが本物かどうかを判断する
Let's Encryptの登場で、無料でサーバ証明書を取得できるようになった

サーバ認証のイメージ

ひよこ

サーバ認証って何をしているの？

ペンギン先生

ブラウザでWebサイトにアクセスしたとき、そのサーバーが本物かどうかを確認する仕組みだよ。たとえば銀行のサイトにアクセスしたとき、偽サイトじゃなくて本当に銀行のサーバーかをチェックしているんだ

ひよこ

どうやって本物かどうか分かるの？

ペンギン先生

サーバーが「SSL/TLS証明書」という電子的な身分証明書を見せてくれるんだよ。その証明書は認証局という信頼できる第三者が発行したもので、ブラウザは「この認証局が保証しているなら本物だ」と判断するんだね

ひよこ

ブラウザの鍵マークってそういう意味だったの？

ペンギン先生

そうだよ！鍵マークは「サーバ認証が成功して、暗号化された通信ができている」というサインなんだ。逆に鍵マークがなかったり警告が出る場合は、証明書に問題がある可能性があるから注意が必要だね

ひよこ

証明書って取得するのにお金がかかるの？

ペンギン先生

昔は年間数万円かかるのが普通だったけど、2015年にLet's Encryptが登場してから無料で取得できるようになったんだよ。今ではWebサイトの大半がLet's Encryptを使っていて、HTTPSの普及に大きく貢献したんだ

ひよこ

証明書にも種類があるって聞いたけど、違いは何なの？

ペンギン先生

大きく分けてDV（ドメイン認証）、OV（組織認証）、EV（拡張認証）の3種類があるよ。DVはドメインの所有確認だけだけど、EVは企業の実在確認まで行うんだ。ただ最近はブラウザのUI変更でEVの視覚的な差がなくなってきて、DVで十分という流れになっているよ。Let's EncryptもDV証明書だけど、暗号化の強度自体はEVと全く同じなんだ

まとめ：ざっくりこれだけ覚えればOK！

「サーバ認証」って出てきたら「接続先のサーバーが本物かブラウザが確認すること」と思えればだいたいOK！

📖 おまけ：英語の意味

「Server Authentication」＝サーバー認証

💬 サーバーが自分の身元を証明し、クライアントがそれを検証する仕組みだよ。Webの安全を支える一番基本的な認証なんだよ

← 用語集にもどる

サーバ認証 とは？

サーバ認証とは？