SSLとは「Secure Socket Layer」の略称ですが、SSLは現在のWebサイトに必要なセキュリティ設定で必須の項目となっています。
実際にWebサイトを訪問してみると、SSL設定の有無が気になる方も多いのではないでしょうか。
Webブラウザによっては、SSL化されていないWebサイトに対する注意喚起も表示されます。
実際、SSLは暗号化という側面だけでなく、電子証明書を用いて通信相手の身元を証明するなど、安全なインターネット利用に欠かせない技術となっています。
また、SSLはSEO施策においても重要な役割を担っており、Webサイト制作やブログを運営する上で知っておきたい知識となっています。
そこで、この記事では、Webサイトの運営前に知っておきたい「SSLの基礎知識」について初めての方にも分かりやすく解説します。
- SSL(Secure Socket Layer)とは何か?
- SSLの設定方法
- SSLとSEOの関係性など
この記事を読むことで、Webサイトの運営で必ず設定しておきたい「セキュリティの基礎知識」が理解できます。
なお、当ブログ(ユニコブログ®)では、重要なセキュリティに関する内容になるので、ブログ作成を通じて、SSL設定の方法を都度、紹介しています。
WebサイトやWebアプリケーションの運用をするときの大事な知識になりますので、この記事がお役に立てば幸いです。
SSLとは?
SSL(Secure Sockets Layer)とは、暗号化通信のことで、簡単に説明するとWebサイトとそのサイトを閲覧しているユーザーとのやりとり(通信)を暗号化する仕組みのことを指しています。
SSLとは?
“ SSL(Secure Socket Layer)とは、インターネット上でデータを暗号化して送受信する仕組みのひとつです。クレジットカード番号や、一般に秘匿すべきとされる個人に関する情報を取り扱うWebサイトで、これらの情報が盗み取られるのを防止するため、広く利用されています。”
出典元:総務省安心してインターネットを使うために国民のための情報セキュリティサイト「SSLの仕組み」より一部抜粋
今では、あまり表だって検索などで情報を盗み取る方法などが調べられないことが多いので、具体的な情報の抜き取り方法などを知られる環境は少なくなりましたが、悪意のある第三者は、普段私たちが利用しているインターネット通信の内容を盗み出し、容易に悪用することが可能な技術を所有しています。
例えば、閲覧したウェブサイトのアドレス、掲示板に書き込んだメッセージの内容、ショッピングサイトで入力したクレジットカード番号やパスワードなど。
暗号化されていない情報は、第三者によって簡単に盗み見ることが可能です。
こうした危険を無くすべく開発されたのが、「SSL」という仕組みです。
例えば、ネットバンクに登録する際、SSLを利用したWebサイトが使われます。
ここで入力された情報は暗号化され、金融機関のWebサーバーに送信されるのですが、こうした暗号化によって、通信中に情報が傍受されることを防いでいます。
SSL(Secure Sockets Layer)により、電子証明書などの詳細情報を確認することができます。
ブラウザの種類やバージョンによっては、保護を示すマークが別の場所に表示されることがあります。
普段お使いのブラウザでどのマークが表示されるか、よく利用するWebサイトに関しては特に、予め確認しておくと良いでしょう。
SSL/TLSの特徴
SSLと合わせて、知っておきたいのがTLSについてです。
TLSは正式名称をTransport Layer Securityといい、SSL同様に「暗号化して送受信する仕組み」を意味しています。
SSL/TLSの仕組み
“SSL(Secure Socket Layer)とは、インターネット上でデータを暗号化して送受信する方法のひとつで、Netscape Communications社が開発しました。TLS(Transport Layer Security)は、SSLをもとに標準化させたものです。”
出典元:総務省「国民のためのセキュリティサイト」より一部抜粋
それでは、SSL/TLSにはどのような違いがあるのか…? という点ですが、SSLは1990年中頃に開発された仕組みであり、その後、1996年5月にSSLを引き継いで開発されたのがTLSです。
TLSはこれまでのSSLをより強力に、セキュリティ面や脆弱性の暗号化に対応するよう改良をされており、TLS=「SSLの新しい世代の規格」となっています。
このため現在、SSLと呼ばれているものは、実際のところTLSの仕組みを指しているのですが、SSLと表記されたり、SSL/TLSと併記されるケースも多くなっています。
SSL/TLSの重要性
SSL/TLSの重要性ですが、実際にユーザーがより安心してWebサイトを利用できるようにするためには、SSL/TLSによる暗号化通信が必要です。
具体的には、SSLによって必要な鍵やWebサイト運営者の情報などが記載された「SSLサーバー証明書」をWebサーバーにインストールする必要があります。
また、Webサイト全体でSSLを有効にする「常時SSL化」にも対応し、セキュリティ面を強化する必要があります。
ここでのTLSは「インターネットなどのネットワークでセキュリティを必要とする通信を可能にするプロトコル」と定義されています。
TLSプロトコルの主な機能として、通信相手の認証、通信の暗号化、改ざん検知などがあるのですが、TLSは、ネットワーク上のサーバーとクライアント(ユーザー)間の通信の手順や内容の安全性を高めるためのセキュリティプロトコルです。
以前はSSLと呼ばれていましたが、前章でも説明をしたとおり、さらにセキュリティ面や脆弱性などが強化され、現在ではTLSと呼ばれています。
SSL/TLSを確認する方法
SSL/TLSを確認する方法ですが、ここでは「Googlechrome」で、セキュリティを確認する方法を紹介します。
- Google Chromeで検証したいWebサイトを表示し右クリックします。
- 表示されたメニューから[検証]をクリック
- [開発ツール]の[セキュリティ]をクリック
これで確認したいサイトのSSL/TLSの状況がチェックできます。
Webブラウザで警告が出るようになった
2017年からChromeブラウザで非SSL(http)ページでの警告が強化されています。
例えば、非SSL(http)ページにパスワードやクレジットカード情報などを入力するフォームがある場合、アドレスバーに「保護されていない通信」と表示されるようになりました。
また、現在ではすべての非SSL(http)ページで最初から「保護されていない/安全でない通信」と表示されるようになっています。
「保護されていない/安全でない通信」については、テキストボックスなどに文字を入力すると必ず赤色の警告メッセージが表示されるようになりました。
このような非SSL(http)ページを放置しておくことは、サイトの検索流入にも悪影響があり、SEO施策においても良く無い結果を招きます。
SSL非対応のサイトについては、早急にSSL化するようにしましょう。
5.共用SSLと独自SSLの種類
SSLには大きく分けて、共用SSLと独自SSLの二種類があります。
それぞれの違いは、以下の通りです。
共用SSL |
サーバー会社のSSL証明書を複数のユーザーで共有して利用するもの |
独自SSL |
ユーザーが所有するドメインのSSL証明書 |
共用SSLはサーバー会社が取得したSSL証明書を複数のユーザーで共有するものであり、登録時に無料または少額の料金でSSL(暗号化通信)を導入することができます。
対する独自SSLとは、ユーザーが所有するものであり、Webサイトの所有者が自分(企業や個人)の名前でSSL証明書を発行している点に違いがあります。
本章では主に、独自ドメインについて詳しく解説したいと思います。
独自SSLの種類ですが、レベル別に
- ドメイン認証型
- 企業認証型
- EV認証型
と大きく分けて3段階の「認証型」が存在しています。
それぞれの特徴を、順にみてみましょう。
ドメイン認証型
ドメイン認証SSL証明書は、複数の認証局から発行されており、手続きの面では「簡単な検証で済む証明書」として広く普及しています。
実際に、ドメイン認証SSL証明書は、企業認証SSLやEV SSLサーバ証明書よりも低価格で導入できます。
ドメイン認証SSLは、認証局が確認した後に発行されるものです。
具体的には、ドメイン所有者が証明書を要求したことを確認されてはじめて、認証局はドメイン所有者の同意を確認するのですが、その際「ドメイン所有者が誰であるか」は確認していません。
そのため、この方法で発行された証明書は、手軽に取得できる反面、中間者攻撃やフィッシング詐欺に利用されるというリスクを持っています。
企業認証型
企業実在認証は、証明書に記載された組織が法的に存在し、「証明書に示されたドメインの所有者であること」を検証した上で発行されています。
企業実在認証では、基本的に証明書に記載された組織名を改ざんすることはできません。
Webサイトにアクセスしたユーザーは、アクセスしたURLがどのような組織で運営されているかを証明書(サイトシール)から確認することができます。
EV認証型
EV SSLサーバ証明書は、これまでの二つと比べて、より高い信頼性が求められるSSLサーバー証明書です。
EV SSLサーバ証明書は、新しいタイプのSSL証明書であり、証明書申請者とサイト所有者・運営者の情報を提供し、利用者に高い信頼性を提供しています。
EV SSLサーバ証明書を利用することで、サイト訪問者が求めているサイトであることを保証することができます。
また、利用したサイトにhttpsでアクセスすると、ブラウザのアドレスバーが緑色に変わり、運営者の名前が日本語で表示されます。
そして、EV SSLサーバ証明書を発行した認証局の名前も表示されるなど、EV SSLサーバ証明書は、信頼を高めるのに効果が高いサーバ証明書として普及しています。
SSLの仕組み
SSLの仕組みですが、暗号化通信は、「共通鍵暗号方式」と「公開鍵暗号方式」という2つの対になった鍵の仕組みを使って行われています。
- 共通鍵暗号方式
- 公開鍵暗号方式
暗号化された文章ですが、たとえ途中で傍受されても、秘密鍵を持たない第三者が解読することはできない仕組みとなっており、情報漏洩を強固に防ぐことができます。
SSLを導入するメリット
SSLを導入することで、以下のようなメリットがあります。
- サイトやサービスを安全に運用できる
- 相手に安心感を与えることができる
- 運営元の信頼度を高めることができる
それぞれの内容を順に解説します。
Webサイトやサービスを安全に運用できる
SSLは通信を暗号化し、情報を特定できないようにすることで、セキュリティの強化やなりすましの防止、信頼の確保を実現します。
またSSLはブラウザとサーバーを暗号化するため、口座番号などのデータが変更されても、その変更を検知することができます。
相手に安心感を与えることができる
相手に安心感を与えるのも、SSLの役目です。
例えばGoogleでは、SSLを検索結果の上位表示の基準として採用するほど、ユーザー保護に配慮しています。
運営元の信頼度を高めることができる
運営元の信頼度を高める上でも、SSLは大きな効果を発揮します。
実際にSSLを使用することで、会社や自治体の振込口座番号の書き換えなど、データの不正な改ざんなどを防ぎます。
また、SSLによってブラウザとサーバーが暗号化され、口座番号などのデータが書き換えられたとしても、その書き換えを検出することができるので安心です。
SSL/TLSの設定方法
SSL/TLSの設定方法ですが2種類の方法です。
例えば、初心者向けのSSL設定方法での一例として
- レンタルサーバーサービスを利用して設定する
- CMSのプラグインで設定する
例えば、CMS(コンテンツマネジメントシスzテム)を利用している場合、WordPressの管理画面に「https://」(HTTPS)でアクセスしログインしたら、「Really Simple SSL」プラグインをインストールします。
プラグインを有効化すると、確認メッセージとともに表示される「はい、SSLを有効にします」ボタンをクリックします。
完了メッセージが表示されたら、「Really Simple SSL」の設定は完了です。
レンタルサーバー別のSSL設定方法
ここまでSSLの説明やSSLの設定方法を紹介しましたが、当ブログ(ユニコブログ®)ではさらに詳しく、レンタルサーバー会社別に、SSLの設定方法を紹介しています。
しかも、すごく簡単です。
個人的には、ConoHa WINGの場合だと有料のイメージがあった「アルファSSL」が無料で利用できるのでオススメしたいところです。
現在、多くのレンタルサーバーサービスは高品質、高機能で、しかもそれらを簡単に操作したり確認することが出来ます。
以下は、人気のレンタルサーバーとそのSSL設定方法を解説した記事です。
現在は「https」が当たり前になっているので、WordPressの設定と合わせて是非、SSLの設定方法も確認してみてください。
上のレンタルサーバーは、CMSにWordPressを選択した場合、すべてWordPressに最適化されているので、申し込みと同時にWordPressの設定ができ、さらにSSLの設定も同時に完結するので初めての方でも安心です。
SSLサーバで良くある質問
最後に、SSLに関するサーバの設定で、よくあった質問を集めてみました。
質問1:SSLサーバー証明書に有効期限はありますか?
SSLサーバー証明書には、それぞれ有効期限が設けられています。
現状、最長有効期限はどんどん短くなっており、有効期限が切れた場合には暗号化通信ができなくなります。
SSL証明書の期限を寝るべく定期的に確認し、期限が切れる前に更新申請を行ってください。
質問2:無料で使えるSSLは、どのようなものですか?
レンタルサーバーや独自ドメインの取得に際し、無料で使用できるSSLがあります。
これらは、共用SSLと呼ばれるもので、サーバー会社が保有するSSL証明書を複数のユーザーで共有して利用するものです。
レンタルサーバーで「独自SSL」を使用したい場合には、サーバー会社にオプションで費用を支払い、設定するなどの方法があります。
質問3:独自SSLは審査があるのですか?
SSL証明書を申し込むと、SSL認証局による審査が行われます。
一例ですが、有名企業のドメインに類似したドメインや、Googleセーフブラウジングで無効と判断されたドメインは審査に通らず、SSL証明書を取得できない場合があります。
また、安全に接続できないドメインや、アクセス制限のかかっているドメイン、他社のサーバーに接続されている場合などにも審査に通ることができません。
このように独自SSLは、厳しい審査内容によって、より信頼性が高いドメインとして評価されています。
質問4:SSLのサイトシールとは何ですか?
サイトシールは、信頼できる認証機関から認証を受けたWebサイトであることを証明するものです。
サイト上にサイトシールが表示されることで、そのWebサイトが安全なWebサイトであることを示しています。
こうしたサイトシールは、SSLサーバー証明書を導入しているWebサイトのみが使用することができるため、認証サービスに申請された証明となります。
質問5:レンタルサーバーは全社、共用SSLが使えますか?
いいえ。
一部のレンタルサーバー会社が提供しているサービスでは、共用SSLの使用を中止しており、独自SSLのみ扱っているケースがあります。
利用するレンタルサーバー会社が、どのような「SSLサーバー証明書」を扱っているか、事前に確認しておきましょう。
SSLはWebサイト運営で欠かせない標準となっている
今回は、独自SSLや共用SSLなど、SSL(Secure Socket Layer)の基礎知識について紹介してきました。
セキュリティ対策において、SSL証明書やドメインのSSL化は必須となっています。
- SSLの暗号化によって、情報傍受されても容易に解読されない
- TLSとは、SSLの新しい世代の規格のもの
- 独自SSLは、共用SSLより信頼性が高い
このようなSSL化は、安全にサイトやブログを運営する上で欠かせない仕組みであり、ユーザーに対して「信頼性の高さ」を証明する働きがあります。
SEO施策においても、SSL化は欠かせません。
SSL非対応のサイトは、早めにSSL化に取り組んでおきましょう。
SSLに関連した他の記事
当サイト(ユニコブログ®)では、ブログサイトを含むWebサイトでの情報発信に関する様々なノウハウをブログ記事形式で紹介しています。
これらの記事がお役に立てば幸いです。