「SSLについて知りたい…SSLサーバー証明書はどれを選んだらいい?」とお悩みの方に向けて、SSLの基本的な概要からサーバー証明書の選び方までを解説します!
目次
SSL/TLSとは?
SSL(Secure Sockets Layer)
[SSLとは~な図表]
SSLとは、インターネットの中でやりとりする情報を暗号化する仕組みのことです。インターネットでは様々な情報が送受信されており、個人情報やクレジット情報等を「暗号化」することで、盗聴(第三者に情報やを盗み取られてしまうこと)や、改ざん(情報を書き変えられてしまうこと)等を防いだりすることができます。
近年では、ネットショッピングやネットバンク等のサービスが普及し利用者が増加。便利になった一方で、それらのサービスを利用する中で、氏名・住所・メールアドレスといった個人情報から、口座番号、クレジットカード情報、IDやパスワードなどあらゆる情報が送受信されています。これらの情報は、悪意を持った第三者から狙われる対象であるため、盗聴や改ざん等がされないようにデータを暗号化させる必要があるのです。
TLS(Transport Layer Security)
[TLSとは~な図表]
TLSは、SSLと表記が異なっているだけでインターネット上の送受信される情報を暗号化する仕組みのことです。1999年にSSL3.0のバージョンから、TLS1.0に移行しました。その後、TLSのバージョンアップが重ねられ現在に至ります。
SSL/TLSの役割とメリット
SSL/TLSには、個人情報やクレジット情報を入力する決済画面、IDやパスワードを入力するログイン画面等で、重要な情報が盗まれないようにするための役割があります。しかし、近年ではそうした特定のページだけで情報が盗まれたり、改ざんされたりするわけではなく、Wi-Fi(公衆無線LAN)環境等の普及により、情報が盗聴されるリスクが高まったことから「常時SSL化※」が推奨されています。そのため、決済画面やログイン画面のないWebサイトでも、ユーザーが安心してページ内を閲覧・利用できるようにSSL/TLSの導入が求められているのです。
※常時SSL化:Webサイトの全てのページをSSL/TLSに対応させること。暗号化されていないページで盗聴や改ざんされるリスクがあるため、すべての情報を暗号化することが望ましい。
SSL/TLSを導入するメリット
SSL/TLSを導入することで、以下のようなメリットがいくつも挙げられます。
- 1.暗号化通信による盗聴を防ぐ
- 3.改ざんの防ぐ・検出する
- 4.なりすまし/フィッシング詐欺を防ぐ
- 2.Webサイト運営者が明確化
- 5.ユーザーの安心感につながり信頼性をアピールできる
近年問題になっている、なりすましサイトによる改ざんによって企業にも個人にも大きな影響がでたり、フィッシングサイトなどによって個人にも被害がでたりしています。SSL/TLSの導入により、セキュリティー対策をしっかり行うことでWebサイトを利用するユーザーからも信頼を得られるのです。
ただし、SSL/TLSを導入しただけでは、全ての悪意ある第三者からの攻撃は防ぎきれません。そのため、SSL/TLSを導入した上で、その他のシステムに関わる部分のセキュリティー対策もしっかり行い、第三者から狙われないようなWebサイトを構築しましょう。
ECサイトやネットバンキングなど、業界やWebサイトのジャンルによってSSL/TLSを導入している割合が異なります。
願わくば、全てのWebサイトでしっかりと導入されることが望ましいのですが、現状対応できていないところがあるのもまた事実…。SSL/TLSは、Webサイトを利用するユーザーだけではなく、運営者を守るためにも重要なセキュリティー対策です。自分も利用者も守るために、まだ導入できないというWebサイト運営者の方は今すぐにでも導入することをオススメします。
SSLサーバー証明書について
SSLサーバー証明書とは、送受信する情報を暗号化するだけではなく、Webサイトの運営者情報(運営者名、会社名、所在地等)の身元情報を証明できる電子証明書のことです。SSLサーバー証明書があることで、運営しているサービス提供者がだれなのか、信用できる運営者なのかをユーザーが確認できるようになっています。
SSLサイトと非SSLサイトの確認方法
SSL/TLSが導入されているサイトと、非SSL/TLSサイトは、上記の図のようにURLの部分に鍵マークがついているか、ついていないかで見分けられます。自身が運営しているWebサイトがSSL/TLS化しているか確認したい際には、上記の部分をチェックしましょう。
※2019年11月「一般消費者向け SSLサーバー証明書の認知度に関する調査」で、ネットショッピングをする際にSSLが導入されていることが安心なお買い物に影響を与えるか?というアンケートを行いました。
その結果、とても影響を与える・まあ影響を与えると答えた人の割合は44%と、SSLが導入されているかどうかが安心に繋がると答えた人は半数近くいることがわかります。こうしたことから、SSL/TLS化させることがWebサイトにおいて大切なポイントとなるのです。
SSL/TLSを導入しているにも関わらず、鍵マークがついていない!ということがあります。これにはいくつか原因がありますが、多いのは設定ミスや料金の支払い遅延などがあります。こうした場合、Webサイトが正常に表示されないことがありますので、SSL/TLSを導入した際は、その点にも注意しましょう。
SSL/TLS化していないWebサイトが全て良くないというわけではありませんが、サービス利用、ネットショッピングでの商品購入等を行う際のユーザーのことを考えれば、非SSL/TLSサイトのまま運用し続けることはオススメできません。Webサイト運営者として、適切な運用管理が大切ですね。
色々ありすぎ!?SSLサーバー証明書の種類
SSL/TLSサーバー証明書には、以下のように様々な種類があります。
ドメイン認証SSL
ドメイン認証SSLは、ドメイン管理者が証明書の発行を要請しているか認証局の審査を経て発行されます。一般的にはウェブ上で承認手続きが行われるため、短時間で証明書の取得が可能です。
企業実在認証SSL
企業実在認証は、証明書に記載される企業の実在性の確認や企業情報の審査を行ったうえで信頼性の高いウェブサイトであることが証明できます。
EV SSL
EV SSLは、SSLを利用したフィッシング詐欺への対策としてCA/Browser Forum(CAブラウザーフォーラム)※によって策定されたセキュリティレベルの高い証明書です。第三者機関への照会、WEBサイトの運営組織の実在性の確認、電話による在籍、申請意思の確認など厳格な審査が行われます。
暗号化通信をする方法として、正規のSSLサーバー証明書を発行せずに、SSL風にして完結させてしまうものがあります。これを、「自己署名証明書(通称:オレオレ証明書)」と言って、暗号化は確かにできているものの、色々な弊害がでてしまうのです。そのひとつが、自分で作成した証明書では、ChromeやFirefoxなどのブラウザでは、「信頼できないサイト」と警告ができます。
また、確かに暗号化されているものの、悪意ある第三者が接続先のサーバーを偽装し、フィッシング詐欺などに利用される可能性があるため自己署名証明書を使うことはリスクが高いのです。暗号化ができていても実在確認ができないSSL通信は危険なため、Webサイトを制作・運用する際には必ず信頼できる第三者認証局に依頼するようにしましょう。
SSL化は、Webサイトに入力する個人情報の漏えいや、情報の改ざん防止になるので、企業のWebサイトには欠かせません。また、設定すればサイトの表示スピードが上がることでSEO対策にもつながります。SSL化をする機会にSEO施策で集客力のあるサイトにリニューアルしたい場合は、Page Deliveryまでご相談ください。SEOを意識したWebサイトの情報設計で、効果の出ていないWebサイトを改善します。
