2018年、GoogleはウェブサイトのHTTPS接続を標準化することを発表し、その後Google Chromeで実装されました。
- 『HTTPを使うWebサイトはすべて「安全ではない」――Google Chromeで明示へ』
http://www.itmedia.co.jp/enterprise/articles/1802/09/news066.html - 『Google Chrome、HTTPSサイトの「保護された通信」を非表示に 「デフォルトで安全が前提」』
http://www.itmedia.co.jp/news/articles/1805/18/news067.html
出典:ITmedia
これにより、Google Chromeを含めた他の多くのブラウザでも、SSL化されていないサイトに対して警告が表示されるようになりました。
今やSSLは必須要素となっていますが、未だにウェブ担当者の方でも、SSLに関してあいまいな理解をされている方が多いのではないでしょうか。
SSLを知らない方、ある程度の知識はあるけどTLSって何?という方に向けて、今回はSSLについて改めて説明したいと思います。
SSL・TLSとは
SSLとは
SSL(Secure Sockets Layer)は、インターネット上でデータ通信を行う際に情報を暗号化するための技術です。
主にウェブサイトで利用され、ウェブブラウザとウェブサーバーの間でデータのやり取りをする際に使用されます。
具体的には、クレジットカード番号や個人情報といった重要な情報を送信する際に、第三者による情報の盗聴や改ざんを防止するために使われます。
また、SSLは証明書を用いて、通信先が信頼できるものであることを確認するための認証機能も持っています。
最近では、SSLの後継技術であるTLS(Transport Layer Security)が主に使われるようになっています。
TLSとは
TLS(Transport Layer Security)は、SSLの後継技術で、インターネット上での通信におけるセキュリティを確保するためのプロトコルです。
主にウェブサイトで利用され、ウェブブラウザとウェブサーバーの間でデータの暗号化や認証を行います。
TLSは、SSLと同様に証明書を用いて、通信先が信頼できるものであることを確認するための認証機能も持っています。
TLSは、暗号化方式や暗号化強度などに改良が加えられ、より高度なセキュリティを提供することができます。
現在では、TLS 1.2やTLS 1.3が主に使われています。
SSLとTLSの違い
SSL(Secure Sockets Layer)とTLS(Transport Layer Security)は、どちらもインターネット上でデータ通信を行う際に情報を暗号化するための技術で、主にウェブサイトで利用されます。
SSLはTLSの前身であり、TLSはSSLの後継技術です。
主な違いは以下の通りです。
- 暗号化方式
SSLではRC4やDESといった暗号化方式が使用されていましたが、TLSではAESやChaCha20といったより高度な暗号化方式が使用されます。 - 認証方式
SSLでは、認証機能が改良されていなかったため、証明書の偽装などの脆弱性がありました。一方、TLSでは、公的な認証局によって発行された証明書を用いた認証が必須となっており、より安全な認証が可能です。 - プロトコル
SSLはプロトコルバージョンが3.0までしか存在しないのに対し、TLSはバージョン1.0から現在の最新バージョンであるTLS 1.3まで存在します。
現在では、TLSが主に使われるようになっており、より高度なセキュリティを提供することができます。
さらに、TLSは現在のウェブサイトにおいて重要なセキュリティ要素であるだけでなく、SEO(検索エンジン最適化)にも影響を与える要素の一つとして扱われています。
Googleは、TLSを使用しているサイトを優先的に検索結果に表示すると発表しており、TLSの使用はウェブサイトの検索ランキングに影響を与える可能性があるとされています。
SSLを導入するメリット
SSLを導入するメリットは以下の通りです。
セキュリティを向上させる
SSLは通信内容を暗号化するため、盗聴・改ざん・なりすましの被害を防ぐことができます。
個人情報やクレジットカード情報の送信など、セキュリティが必要な情報を扱うサイトにとって、SSLは必須の対策となります。
ユーザーに与える信頼感を向上させる
SSLは通信内容の暗号化に加え、サイトが本物であることを証明する認証機能を持っています。
したがって、SSLを導入することで、ユーザーに対する信頼感を高めることができます。
検索エンジンでのSEO対策に有効
GoogleはSSL導入サイトを優遇する方針を示しており、SSL導入によって検索順位が上昇する可能性があります。
Cookieの制限緩和
HTTPSで通信すると、クッキーが暗号化されるため、第三者によるCookieの盗み取りや改ざんを防ぐことができます。
また、HTTP通信では、サイトの閲覧中にCookieが盗まれる可能性があるため、EUなど一部の地域で、Cookieの利用に関する法律が厳しくなっています。HTTPS通信を使用することで、この問題を解決することができます。
SSLの導入方法
SSLの導入は、大きく分けて以下のようなステップとなります。
- STEP
契約ドメイン・サーバ情報の確認
自サイトが置かれているサーバの情報や、ドメイン(WHOIS情報)を確認します。 - STEP
CSRの作成
SSLサーバ証明書の発行を申請するために、サーバ上でCSR(Certificate Signing Request)を作成します。 - STEP
申し込み
証明書認証局へ証明書を発行してもらう申請を出します。申込みは認証局やSSL証明書の種類により異なりますが、登記簿謄本や企業実印済みの申請書、印鑑証明書等が必要となる場合があります。
- STEP
インストール
認証局の審査が終わり無事発行されたSSLサーバ証明書をサーバへ保存しインストールします。 - STEP
実サイト上で確認
正常にSSL化できるか確認します。http接続しているコンテンツが混在している場合はURL指定の変更、Wordpress管理画面からの編集、http://からhttps://へのリダイレクト設定などを行う必要があります。
SSLの導入には、現在のサーバ環境の確認やインストールなど、サーバやサイトに関する基礎的な知識が必要です。
また、書類提出が必要な場合もあり、手続きには面倒な部分があります。
しかし、レンタルサーバーやレジストラなど、契約しているサービスプロバイダによっては、SSLの導入を代行してくれるサービスもあります。
これらのサービスは基本的に有料ですが、自力で導入するよりも手間が少なくなるため、利用する価値があります。
ただし、これらのサービスを利用する場合でも、ある程度の知識や作業が必要となることがあります。
そのため、専門的なサポートを受けながらSSLの導入を行うことが安心です。
まとめ
過去には「あると安心」程度だったSSLも、現在では「あって当然、無いと危険」という時代になりました。
ネットショップなど個人情報を持つサイトはもちろんのこと、お問い合わせフォームがあるかどうかに関わらず、すべてのウェブサイトがSSL化に対応する必要があります。
つまり、未対応のウェブサイトを持っている方は、SSL化対応を今すぐ検討する必要があります。
それは、個人情報やお問い合わせ内容などの重要な情報を扱うサイトに限らず、すべてのウェブサイトに対して必要な対応となります。
SSL対応でお困りの方へ
レジストラにSSL化対応サービスがなく、自力での導入が分からない場合は、弊社でもSSL化対応に関するご相談・ご対応を承っております。
セキュリティに関するご相談はもちろんのこと、アクセスアップや問い合わせ数の増加など、集客に関するお悩みもお気軽にご相談ください。