目次
SSLとは?
まりな
『カスタマーサポート公式キャラクターのまりなです!SSLの事を一緒に学んでいきましょう!』
SSL(Secure Sockets Layer)は、ホームページを格納しているサーバーとブラウザ間の通信を暗号化するための仕組みです。厳密にいえば、現在はSSLの次世代規格であるTLS(Transport Layer Security)が利用されているのですが、一般的にSSLと呼ばれていますので、この記事でもSSLで表記します。
SSLにより通信が暗号化されることで、悪意ある第三者による通信の傍受(情報漏洩)や改ざん、なりすましを防ぐことができます。
SSLを使う理由
SSLを導入する一番大きな理由はホームページを使ってくれるユーザーの情報を保護することです。個人情報やクレジットカード情報を暗号化せずに通信すると盗み見(傍受)されて悪用されてしまうリスクがありますので、ユーザーに安心してホームページを使ってもらうためにもSSLの導入が必要です。
またSEOの観点でもSSL導入に向けての動きが強まっており、以前からランキング要素への採用やSSL未導入(非https)サイトへの警告表示が行われていましたが、2023年10月からはChrome等のブラウザで「http」を自動的に「https」へ変更するHTTPSファーストモードの適用が行われました。
これらの事から、現在ではSSLの導入は必須事項になったと言って良いでしょう。
まりな
さくらのレンタルサーバでは無料で使える Let’s Encrypt というSSL証明書があります。ぜひご活用ください!
なぜSSLで「改ざん」「なりすまし」が防げるの?
改ざん、なりすましの防止についてはSSLの「認証局」という組織の存在が重要になります。暗号化自体は認証局が無くても可能ですが、認証局はサーバでもPCでもない第三者機関であり、「○○.jpを名乗るこのサイトは本当に○○.jpですよ」と保証してくれる組織です。
証明書の種類によっては「○○.jpとは、株式会社○○が運営しているサイトですよ」と運営組織を保証してくれる場合もあります。銀行のホームページにアクセスした際、ブラウザで会社名が確認できるのはEV証明書という特殊な証明書を利用しているからです。
SSLの弱点はあるの?
一見SSLが導入されているとそれだけで安全そうに見えますが、落とし穴もあります。
SSLはサーバーとブラウザ間を暗号化する仕組みとお話した通り、ユーザーのアクセス先のホームページ自体の安全性は保証してくれないのです。実際にSSLを導入したフィッシングサイトも珍しくありません。また不正な通信も暗号化されてしまうと検知しにくくなってしまいます。
あくまでSSLは通信先のドメインと途中経路での盗聴や改ざんを防ぐものであって、通信先のホームページがフィッシング詐欺等危険なサイトではないということを保証するわけではないことを理解して利用するようにしましょう。
認証局と証明書って何?
実際にSSL通信を行うには、CSR、秘密鍵、サーバ証明書、中間証明書が必要になります。 CSRと秘密鍵はユーザが用意し、サーバ証明書と中間証明書は認証局が発行します。認証局とは、この証明書を発行してくれる機関になります。
認証局の役割とは
認証局は証明書が欲しい申請者の申請を受け付けて、その申請者がドメインを持っているかどうかを確認して、証明書を発行してくれます。これにより、自分がアクセスしているサイトはexample.jpだと保証された状態でサイト閲覧ができ、なりすましや改ざんを防ぐことができるわけです。
ここに出てくるCSRとは、簡単に言うと発行して欲しいドメインや組織情報が記載された申請書のようなものです。では、実際にサイトを閲覧する際に認証局がどのような役割を持つのかを見ていきましょう。
実際にサイトを閲覧する際には、サイト運営者は発行された証明書を閲覧者に渡します。閲覧者は、その証明書が有効なものかどうか、認証局へ確認します(※)。これにより、さらに安心してインターネットが利用できるようになるわけです。
※現在全てのブラウザがこの確認を行っているわけではありません。また、失効確認にはいくつかの規格があり、確認方法が異なります。
整理すると、認証局の役割は以下のようになっています。
証明書発行審査
申請者が本当にそのドメインを管理しているかどうかを確認します。その際、証明書の種類によっては申請者の組織(企業、団体)が実在するかどうかの確認も行います。
証明書の発行
審査を通過した場合、実際の証明書を発行します。
証明書の管理
証明書の発行過程で問題があった場合、期間内であっても証明書を失効させるなどの措置を取ります。そのため、サイト閲覧者が証明書の有効性を確認するためのサーバを運営しています。
鍵の管理
暗号化通信するためにもっとも重要なルート証明書と対になる秘密鍵を管理しています。
SSL証明書の選び方
さくらインターネットでは、SSLの証明書を販売しています。沢山の種類があり、値段も無料のものから1年間で10万円を超えるものまであって迷ってしまうと思います。 ここでのポイントなのは値段によって暗号強度に変わりがないという点です。それでは高価な証明書は安価なものと比べて何が違うのでしょうか。
各証明書の違い
SSL証明書は、発行時にどれだけ厳格に審査を行うかによって認証レベルが変わり、「ドメイン認証(DV)」「組織認証(OV)」「拡張組織認証(EV)」の3つに別れます。詳しくは下記の表にまとめましたが、概ね認証レベルが高くなれば審査が厳格になり、信頼性と価格も上がる傾向になります。
| ドメイン認証(DV) | 組織認証(OV) | 拡張組織認証(EV) | |
|---|---|---|---|
| 認証レベル | ★ | ★★ | ★★★ |
| 説明 | ドメインの管理者を確認することで発行される証明書です。 | ドメイン認証に加え、組織の法的な実在証明を追加した証明書です | ドメイン認証、組織認証に加え、更に厳格な組織の存在確認が行われます。ブラウザの証明書欄に組織名が表示されます。 |
| ドメイン名の所有権の確認 | ◯ | ◯ | ◯ |
| 組織の法的実在性の確認 | − | ◯ | ◯ |
| 組織のより厳格な実在性の確認 | − | − | ◯ |
| 発行対象 | 個人/法人 | 法人 | 法人 |
| 主な用途 | ・一般的なWebサイトやブログ | ・会員制サイトやECサイト ・企業サイト | ・会員制サイトやECサイト、オンラインバンキング等 ・企業サイト |
近年ではフィッシングサイトもSSL証明書を導入していることは珍しくありません。ドメイン認証(DV)は、ドメインに関するメールアドレスさえあれば取得できる証明書です。そのためフィッシングサイトのドメインであれば、フィッシングサイト作成者でも取得することができるのです。
仮に自組織のWebサイトにそっくりなフィッシングサイトを作られてしまった場合でも、高い認証レベルのSSL証明書を導入していれば顧客にSSL証明書の確認を促すことで被害を軽減できる可能性があります。SSL証明書は価格だけではなく、導入先のWebサイトの用途やセキュリティリスクに合わせてお選びくださいね。
さくらのレンタルサーバでは無料SSLであるLet’s Encryptをご利用いただけますが、リーズナブルなEV SSL証明書も取り扱っていますのでご検討ください。
常時SSL化とは?
「常時SSL化」とは、サイトのすべてのページをSSL化することです。かつては、ログインページやクレジットカードの決済ページなど、特定のページのみSSL化するのが一般的でしたが、現在ではサイトの規模や用途を問わず、常時SSL化の対応はもはや必須となっています。
続きはこちらの記事でご覧ください。
