TLS/SSLイントロダクション

Amazonは常にセキュアな通信を利用することを推奨します。これらには2つの事例があり、サーバは信頼できる証明書認証機関から発行された正しいTLS/SSLを必要とします。

  • ログイン - 購入者がログイン中は、ポップアップウィンドウか、購入者を他のページにリダイレクトする2つのオプションがあります。ログインタイプに応じてどちらかを選択します。これらは次のセキュアな通信を利用しなければなりません。
    • ポップアップログイン:TLS/SSLはボタンが埋め込まれているWebサイトで必要です。
    • リダイレクトログイン:購入者がリダイレクトされるURLはセキュアなページでなければなりません。
    注意 :ローカル環境でテストする場合は、TLS/SSL証明書は必要ありません。(例:http://localhost)
  • IPN メッセージ - IPN(インスタントペイメント通知)メッセージはセキュアなエンドポイントにのみ送信されます。Amazonの正確な証明なしでは、販売事業者が所有する実際のIPNメッセージなどのデータを誰かが盗むことができるので送信しません。

TLS/SSLとは

トランスポート・セキュリティ・レイヤー(Transport Security Layer:TLS)とセキュア・ソケット・レイヤ(Secure Sockets Layer:SSL)は、Webサーバとブラウザ間のデータを暗号アルゴリズムを利用して安全に転送をするため設計されたプロトコルです。TLS/SSLは正しく送信元からデータが転送されており、転送中は第三者によって変更や参照されていないか確実にします。AmazonがサポートしているTLS/SSLの詳細なバージョンはAmazon PayのWebサイトに追加しております。

HTTP vs HTTPS

URLアドレスにHTTPSプロトコルが含まれている場合は先頭はhttpsとなり、データは安全に転送されていることを示します。HTTPとHTTPSの違いは、HTTPSのデータは最初からTLS/SSLプロトコルで転送され、安全が確保されています。

TLS/SSL証明書

TLS/SSLはセキュアと転送データを保護するために証明書を利用します。証明書は、組織、国、有効期限、Webサイトのアドレス、この情報を認証した者の証明書IDなどの情報を含む証明書の所有者の情報を含みます。更に、データ改ざんされない証明であるパブリックキーとハッシュ値も含みます。次は証明書のサンプルです。

 
Company Root CA 9  
==================  
-----BEGIN CERTIFICATE-----  
MIIDQTCCAimgITBmyfz5m/jAo54vB4iXxxababbmljZbyjANBgkqhkiG9w0BAQsF  
ADA5MQswCQYDVQQGEwJVUzEPMA0GA1UEChMGQW1hem9uMRkwFwYDVQQDExBBbWF6  
b24gUm9vdCBDQSAxMB4XDTE1MDUyNjAwMDAwMFoXDTM4MDExNzAwMDAwMFowOTEL  
N+gDS63pYaACbvXy8MWy7Vu33PqUXHeeE6V/Uq2V8viTO96LXFvKWlJbYK8U90vv  
o/ufQJVtMVT8QtPHRh8jrdkPSHCa2XV4cdFyQzR1bldZwgJcJmApzyMZFo6IQ6XU  
5MsI+yMRQ+hDKXJioaldXgjUkK642M4UwtBV8ob2xJNDd2ZhwLnoQdeXeGADbkpy  
rqXRfboQnoZsG4q5WTP468Sample  
-----END CERTIFICATE-----

証明書チェーン

グローバルで大きな公開鍵証明書認証局(CAs)は、TLS/SSL証明書をその他の代理として認証します。通常は地域レベルで処理されます。サーバの証明書が中間証明によって発行されている場合は、サーバは中間証明の認証がされなければなりません。これはローカルに保存されたルート証明書に対して順番に確認することになります。

次のステップは確認するための順番です。

  1. サーバから証明書をダウンロードします。
  2. サーバの証明書がWebサイトの名前に合致しており、中間証明によって署名されているか確認します。
  3. 中間証明がローカルに保存されている信頼されるルート認証書の1つに署名されているか確認します。

中間証明書認証局は、その他の中間証明書認証局の証明書を発行できます。これは、証明書チェーンは3つの証明書より多くなることを意味します。

なぜTLS/SSL証明書が必要なのでしょうか。

TLS/SSL証明書を利用するいくつかの理由は次の通りです。

  • セキュリティ :TLS/SSL証明書を利用する大きな理由は、購入者のブラウザとサーバ間でセキュアなデータを保つことです。これはむき出しのインターネットから、注文、支払詳細、購入者の名前、パスワードなどの購入者のデータを盗まれることを防止します。
  • 購入者の信頼 :TLS/SSL証明書を含む場合は、証明書認証局はWebページに表示されるシールを発行します。このシールはWebサイトの信頼性に重要です、なぜなら、購入者はデータがセキュアであることを知るからです。次のイメージはいくつかのサンプルシールです。
  • トラフィック :Googleなどの検索エンジンはeコマースサイトのランキングについて、セキュアの通信を利用しているものより、非セキュアな通信をしているサイトを低く処理します。