SSLクライアント認証

皆さんご存じSSL。広く利用されているのはサーバー側にのみ証明書を導入する方式ですが、クライアントにも証明書を導入することでクライアント認証も可能です。

SSLクライアント認証を利用すると、特定の証明書を持ったクライアントだけにアクセスを絞ったり、その証明書をもって利用者を特定（認証）することができます。

これはビジネス用のスマホ活用には結構便利なのではないかなぁとおもった次第です。

なぜわざわざ？

もちろん、サーバー証明書のみのSSL+パスワードでいいじゃないかという話もあると思います。しかし、スマホからパスワードをチクチク入力するのは大変。ついつい短いパスワードなどにしてしまったり...。

クライアントにSSL証明書は導入する手間というのがありますが、一度導入してしまえばあとの手間は小さくなります。

iPhoneの場合

iPhoneの場合、「iPhone構成ユーティリティ」というソフトを別途DLしてきて利用します。
このツール、もともとは「パスワードの最低長」や「利用禁止アプリ」などといった制約を統一的にかけるための「プロファイル」を作り、各端末にインストールするためのツールなのですが、その一環としてSSLクライアント証明書もインストールできます。

詳細は、

http://blog.livedoor.jp/k_urushima/archives/1064046.html

に詳しくありますので参考にしてみるといいかと思います。（2009年の記事なので、いつか私もまとめようと思います。）

でも「パスワード」も併用しよう

クライアントSSL証明書 Yeah! と便利さを謳歌するのもいいでしょう。技術的には証明書さえあれば認証はできるので、パスワード認証ナシにしちゃうこともできます（サーバー側のWebアプリで対応が必要ですが...）。

ただ、端末を落とした場合に完全になりすましができてしまうため、パスワードを完全になくすことはオススメしません。

• 4桁の数字の入力を求める
• 3回間違ったらアカバン

みたいなルールにしておくことで、パスワード入力はラクですし、万が一盗難した場合にも完全になりすまされる可能性は低いと思われます。