うどん県出身・Webディレクターのセイタです。最近ポケモンカードの大会に出場しました。結果は惨敗でしたが、すごく楽しかったです。ポケモンカードは心身ともに健康になります。ポケモンカードをやっていきましょう。
さて、今回はSSL通信とは?です。
最近は社内の体制変更に伴ってWebサイトの保守業務に取り組んでいます。保守と言えばWebサイトのコンテンツ追加からABテストによるUIの改善、企画LPの新規制作など、様々な領域がありますが、忘れてはならない基本のキとしてSSL証明書の更新があります。
Webサイトを保守運用していくなかでとっても大切なSSLについて、今回まとめました。
SSL通信とは?
SSLとはSecure Sockets Layerの略称です。インターネット上におけるWebブラウザとサーバ間でのデータの通信を暗号化し、送受信させる仕組みのことです。
暗号化させる情報としては、
- 氏名・住所・メールアドレスなどの個人情報
- クレジットカードなどの決済情報
- WebシステムにログインするためのIDおよびパスワード
が挙げられます。
暗号化されていない通信だと、上記の情報が直接インターネット上の通信でやり取りされるため、悪意のある第三者によって盗聴される可能性が高いです。
そのためSSLによって暗号化し、悪意のある第三者からの盗聴を防ぐ必要があります。
SSL対応されているWebサイトの確認方法
SSLが導入されているWebサイトはURLが通常の http:// から https:// へと変更されます。
インターネット上のHTTP(HyperText Transfer Protocol)通信がSSLによって暗号化され、HTTPS(HyperText Transfer Protocol Secure)と呼ばる暗号化されたプロトコルへと変更されるのです。
アクセスしたWebサイトでSSLが導入されているかどうかは、このようにURLを確認すれば良いですが、より視覚的に確認する方法があります。それはブラウザのアドレスバーに鍵マークがついているか見ることです。
LIGのWebサイトですと、このようにURLの左側に鍵マークがついていることが確認できます。
一方、SSLを導入していないサイトでは、このように警告マークと「保護されていない通信」という表示がされます。
「保護されていない通信」と表示されているWebサイト上では、先ほど述べたように通信が暗号化されておらず、Webサイトから送信されたデータが平文のままとなっているため盗聴や改ざんを防ぐことができません。
この警告はGoogle Chromeでは2018年に警告を表示するようになりました。SSLを導入することで訪問者の個人情報を守ることはもちろん大切ですが、このような表示によって「このWebサイトは信用に足るかどうか」をユーザーが判断しやすくなりました。
また、SEOの観点でも常時SSL化されているサイトは検索エンジンの上位に表示されやすいため、WebサイトがSSL化されている状態を保つことが非常に大切です。
SSLの導入
WebサイトでSSLを導入する場合、通信の暗号化に必要な鍵とWebサイトの運営者の情報が含まれた「SSLサーバ証明書」を、サーバにインストールする必要があります。
SSLサーバ証明書とは、信頼のおける第三者機関によって、Webサイトの運営者が正しい運営者であるかどうかの審査を行ったうえで発行されるものです。
このSSLサーバ証明書を導入することによって、訪問者は通信が暗号化によって保護されていることおよびWebサイトの運営者情報を確認することができ、安心安全なWebサイトだということがわかります。
SSLサーバ証明書の確認方法
アドレスバーの鍵マークをクリックすると、通信が保護されている旨が表示されます。
この記載をクリックし「証明書は有効です」という記載をクリック。
すると、SSLサーバ証明書の情報を確認できます。
具体的な導入方法は、SSLの種類や導入するSSLサービスによって異なるためここでの説明は割愛しますが、SSLには企業実在認証やドメイン認証など、様々な種類があります。
SSLサーバ証明書の種類
SSLサーバ証明書の種類は下記の3種類です。上から順に価格が安く、発行時間が早くなっています。
- ドメイン認証
- 企業実在認証
- EV認証
それぞれ説明します。
ドメイン認証
ドメイン認証は、通信を暗号化するだけのものです。そのため、オンラインでドメインの実在確認を行うだけの認証となっており、低価格かつスピーディーに発行することができます。
通信の暗号化のみを目的とするのであれば、ドメイン認証型の証明書で十分です。発行されるSSLサーバ証明書に企業情報は埋め込まれないので、主にLPや組織内サイトへの導入がおすすめです。
企業実在認証
企業実在認証は、企業がWebサイトを運営していることを証明するためのものです。商業登記簿謄本(登記事項証明書)や帝国データバンクの情報を元に、運営企業の実在が確認されてから発行されます。
そのためドメイン認証に比べると価格が高く発行速度も遅くなりますが、発行されるSSLサーバ証明書の属性やサイトシールに企業情報が埋め込まれるので、「なりすまし防止」の用途でも利用することができます。加えて、ユーザは接続しているWebサーバの運営元を確認できるので、安心してWebサイトの閲覧等、情報の送受信ができます。
安心・安全なWebサイトを証明できるため、コーポレートサイトやSNSなどの会員制サイトへの導入がおすすめです。
EV認証
EV認証ではアドレスバーに緑色で組織名が表示されることが一番の特徴です。ユーザーが視覚的に直接運営企業の名前を確認できるため、フィッシング詐欺の予防に役立ちます。
そのためクレジットカード番号や、銀行口座などの個人情報を取り扱うオンラインショップや、ネット銀行のWebサイトでよく利用されます。EV認証では企業実在証明認証よりもさらに厳格な審査がおこなわれるので、費用および発行までの時間がほか認証よりも高いコストとなります。
確認証を一覧して比較しやすくするために、表にまとめたのが下記です。
| ドメイン認証 | 企業実在認証 | EV認証 | |
|---|---|---|---|
| 認証レベル | 低 | 中 | 高 |
| アドレスバーの表示 | ドメインをそのまま表示 | ドメインをそのまま表示 | アドレスバーに組織名を緑色で表示 |
| 認証項目 | ドメイン名の利用権 | ドメイン名の利用権、組織の法的実在性 | ドメイン名の利用権、組織の法的・物理的実在性、組織の運営、承認社・署名者の確認 |
| 特徴 | 低価格、スピード発行 | 証明書情報に組織名を表示、Webサイトの信頼性アップ | アドレスバーの表示がほか認証と異なる、フィッシング詐欺対策 |
| 利用用途 | LP、組織内サイト | コーポレートサイト、SNS・会員制サイト | オンラインショップ、ネット銀行/ネット証券 |
SSLの継続
SSLを一度導入すればWebサイトがずっとSSL化されるわけではありません。SSLサーバ証明書には有効期限があり、定期的に更新する必要があります。
なぜ有効期限があるのかと言うと、SSL証明書の内容に問題が見つかる場合があり、証明書そのものを都度確認する必要があります。また、技術革新によって暗号が解読されるリスクもあり、このようなリスクを緩和するために定期的に更新の必要があります。
更新するためには発行している証明書に応じた更新作業が必要となります(なかには自動更新の証明書もあります)。
多くのSSL証明書は期限切れ90日前から更新可能となっており、早めに更新しても期限に損が生じることはない(期限切れ約1ヵ月前に1年の有効期限で更新すると、約13ヵ月の長さを持つ証明書で発行される)ので、できるだけ早めに準備しておきましょう。
この更新作業を忘れると大変で、Webサイトそのものが閲覧できなくなることや、暗号化されなくなってしまったために訪問者の情報漏えいが生じてししまいます。
Webサイトを保守していくなかでSSLを継続させていくことは非常に重要なのです。
安心安全なWebサイトを保守していこう!
SSLとはなんぞやというところから、いかにSSLを継続させていくことが大切なことかご紹介しました。うっかり忘れてさあ大変! な事態となりやすいSSL証明書の更新、しっかりとやっていきましょう。
もちろん、LIGでも各種証明書の導入や更新作業をお任せいただけます。お困りの際はぜひご相談ください。
LIGはWebサイト制作を支援しています。ご興味のある方は事業ぺージをぜひご覧ください。
