最近、随所で(特にIT関係者から)目や耳にするのはSSLに関する誤った情報です。曰く、「第三者機関に認定されたサイトである」とか「第三者機関に安全性を認証されたサイトである」とか。これ、どちらも「完全に」誤りです。サーバー証明書(SSL証明書)を発行する機関はサイトを認定する機関でもありませんし、安全性を認証する機関でもありません。サーバー証明書は、その名の通り「サーバーが正しいものである」事を証明するだけのものです。発行に関して安全かどうかの確認は一切されません。
最近の傾向で言えば、悪意を持った者が立ち上げたサイト(フィッシングサイトやC&Cサーバー等)にもサーバー証明書は導入されており、サーバー証明書が導入されている(=httpsで通信される)事で安全かどうかは一切保証されません。ちょっと前までは「サイトが安全かどうかはブラウザの鍵マークで確認しろ」と言われましたが、それも全く通用しなくなっています。
そもそも論の話をしましょう。
SSL/TLS通信をする為に導入されるサーバー証明書ですが、これは「通信の暗号化を実現するために導入されるものではない」と言う事です。サーバー証明書という名の通り、そのサーバーが「正しいサーバーである」事を証明するために導入されるものです。その、「正しいサーバーである」事を証明するためには、第三者によって通信を傍受され改竄されない事が必要なので通信の暗号化がなされるわけです。結果として、httpなサイトにサーバー証明書を導入して適切な設定を行えばhttpsなサイトになるわけなのです。
正しいサーバーである事を証明するだけですから、それが善意の者が立ち上げたサーバーなのか、悪意の者が立ち上げたサーバーなのかは知ったこっちゃないわけです。なので、安全性を保証したものではないわけなのです。
こういう、基本的な部分を知らないIT関係者が「非常に」多いので、騙されないように注意したいものです。正しい安全なサイトの見分け方は後日紹介したいと思います。