サイトを立ち上げた人も、サイトも利用する人も知っておきたいSSLのはなしです。
SSLってご存知でしょうか?もしくはWebサイトのURLの始まり方で「http」と「https」があるのを知っていますか。
もし知らないのであればセキュリティ上良くない状況にあるかもしれませんので、ぜひこの記事を読んでセキュリティ向上に努めてくださいね。
SSLの技術はかなり奥が深く、仕組みまで理解しようとすると難しいので、ざっくりと知っておくべき概要を解説したいと思います。
SSLの意味は?
SSLとは「Secure Sockets Layer」の略で、インターネット上のデータ通信を暗号化する仕組みのことです。
例えばネットをしている時に、お問い合わせとかクレジットカード情報とか何かしら情報を送信することってありますよね?こういった送信する情報が暗号化されます。
暗号化っていうのはそのままの意味で、送信した情報を第三者が見ても分からない文字列に変換されているということです。
つまり「見られちゃまずい情報を、見られても大丈夫なようにしよう!」というのがSSLの目的です。
なお、SSLを導入することをSSL化すると言ったりします。
TLSとは何か?
簡単に補足ですが、SSL関連の話でTLSと言う言葉が出てくることがあるので、こちらも触れておきます。
TLS(Transport Layer Security)と言うのは、分かりやすく言えばSSLの進化版です。実際のところSSLを元にしてTLSの技術は実装されています。
SSLは脆弱性が見つかるたびにバージョンアップを重ね、2000年頃からSSLを引き継いだTLSという規格が使われています。
というわけで現在使われている技術はTLSなのですが、SSLで呼び名が定着してしまっていたためそのままSSLと呼ばれていることが多いです。
一般的にSSLと聞けばTLSのことを指していると思って問題ないです。
SSLの役割
SSLはなぜ大切なのでしょうか?SSLの役割について考えてみたいと思います。
一言で言ってしまえばセキュリティ対策上重要です。サイトから情報を送信するときに、その情報を暗号化することで悪意を持った第三者から情報を守ることができます。
例えば通販でクレジットカードなどを使うを考えてみましょう。
サイト上で送信したクレジットカード番号やセキュリティコードなどの情報を盗まれてしまっては悪用されてしまうリスクがありますが、SSL技術を使うことで第三者が情報を盗み見ることを防ぐことができるわけです。
また、送信された情報が盗まれることだけでなく、送信した情報を改ざんされることも防いでくれます。
もし改ざんされてしまった場合には分かるようになっているので、知らないうちに情報が差し替えられていたなんて事態を避けられます。
さらにSSLサーバー証明書があるおかげで、サイトのドメインが正式なものであることが証明されます。
SSLサーバー証明書と認証局
SSLを導入するとSSLサーバー証明書と呼ばれる電子証明書が発行されます。
SSLサーバー証明書というのは、送受信する情報の暗号化やサイト運営者などの身元情報が間違いないことを証明する機能を持った電子証明書のことです。
この証明書は第三者機関である認証局が発行します。自分のサイトの情報を自分で証明するのはおかしな話ですから、その部分の役割を認証局が担っているということです。
SSL化しているサイトが必ずしも安心というわけではない
念のため補足ですが、SSLというのは送信する情報が第三者の悪用を防ぐという意味で安全性が高いという意味であって、SSL化しているサイトそのものが絶対に安心という意味ではありません。
SSL化しているサイトでも詐欺を行っているようなサイトは数多くあるので、誤解のないようにしてください。
SSL化するメリット
前項の役割の部分と被ってしまうところもありますが、SSL化のそのほかのメリットについて確認してみましょう。
- セキュリティ向上
- 安全性をアピールできる
- SEO上有利に
セキュリティについてはここまで説明してきた通りなので省略します。安全性のアピールとSEOの部分について解説します。
httpがhttpsになり、鍵マークが付く
いろいろなサイトのURLを見てみると、「http」のものと「https」のものがあることに気が付くと思います。(chromeでは「http(s)://」部分は省略して表示されている場合がありますが、アドレスバーのURLをダブルクリックすると確認できます。)
httpとhttpsの違いは、まさしくSSL化しているかどうかの違いです。
SSL化しているサイトはhttpsとなっており、鍵マークが付きます。
ちなみにhttpsのsはsecure(=安全な)のsで、これはSSLの最初のSも同様です。
逆にSSL化していないと次のような警告が出ます。
このような警告が表示されるので、ユーザーに安心してもらうためにもSSL化は重要なポイントとなります。
SSLの導入はSEOの観点からも必須
もう一つのメリットとしては、SEO上の評価があります。
Google自体も、SSL化してhttpsとすることを推奨し、SEO上影響があることを明言(→HTTPSでサイトを保護する)しています。
もはやサイト運営においてSSL化しないという選択肢は残っていないように思います。
無料SSLと認証レベル
この項目は少しマニアックな話になるので気になる方だけ読んでもらえればと思います。
さてここまでSSLとはどういったものか見てきましたが、SSLには認証レベルというものがあります。
SSLの認証レベルは、どこまで証明書の名義人や組織の実態を調べているかという違いであって、暗号化の技術レベルが高くセキュリティがさらに向上するということでありません。
どちらかというと信頼性のレベルと言ったほうが近いでしょうか。
認証レベルには段階あり、以下に紹介するうち下の項目ほど取得条件が厳しくなっています。
ドメイン認証SSL
Webサイトドメイン名の所有名義確認で取得が可能な証明書です。
費用が安く取得までも早いので、一般企業などでよく使われています。
無料SSL
ドメイン認証の中には無料で利用できる無料SSLがあります。Let’s Encrypt(レッツ・エンクリプト)という認証局が有名です。
SSL証明書を自動で発行しており、数分で導入できるので個人やちょっとしたサイトならこちらで十分でしょう。
無料SSLもドメイン認証SSLと同じですが、フィッシング(詐欺)サイト対策をしていなかったり、サポートがない点が有償のものとの違いになります。
企業認証SSL
ドメイン認証に加え、Webサイトを運営している組織が法的に存在するかを確認することで取得が可能なSSLです。
審査するのに基本的には登記していないと発行できないSSLなので、ドメイン認証の場合より信頼性が高いものになります。
EV認証SSL
企業認証をより厳しくした認証方法です。企業認証の条件に加え、組織の所在地の確認、運営実態があるかの確認、承認者・署名者の確認が行われます。
一番レベルの高い認証方法になり、SSL化の費用もその分高くなります。
金融機関などのセキュリティの重要性が高い企業はEV認証することが多いです。
ドメイン認証SSL | 企業認証SSL | EV認証SSL | |
---|---|---|---|
SSL/TLS暗号化 | |||
組織の法的存在確認 | |||
組織の実在性確認 | |||
申請者確認 | |||
費用 | 無料~低 | 中 | 高 |
信頼度 | 低 | 中 | 高 |
SSL化するにはどうしたらいい?
どこかレンタルサーバーを借りているのであれば、そのレンタルサーバー経由で利用できる場合が多いです。
大手で人気のあるレンタルサーバーであれば、だいたい独自無料SSLを提供しています!レンタルサーバーの契約時に独自ドメインが取得できるものであれば、SSL設定まで完了する場合もありますし、この方法が一番楽です。
ほとんどの方は無料SSLの認証レベルで事足りるので、もしSSL化していない場合はサーバーの管理画面から設定しましょう。
それ以外のSSLレベルであれば、国内シェア1位のGlobalSignや格安SSLを扱っているSSLボックスなどから申込すればOKです。
なおhttpで運用していた期間がそれなりにある場合には、SSLでhttps化する際に、301リダイレクト設定を忘れずに行ってくださいね。
301リダイレクトで、httpでアクセスした場合にhttpsにページが遷移する設定が可能です。(方法は調べてみてください)
まとめ:SSLでhttps化しよう!
世界中でセキュリティに厳しく意識も高まっていている今、SSLの対応はWebサイトでほぼ必須のものになりつつあります。
それはGoogleの方針としても表れています。
多少の手間はかかりますが、面倒という理由以外に導入しない理由はありません。
後から導入する場合には対応しなければならない問題が増えるため、出来ればWebサイト立ち上げ時にすぐ導入するのが好ましいです。
無料のものでもいいので、必ず導入するようにしましょう。