2018年、GoogleはウェブサイトのHTTPS接続を標準化することを発表し、Google Chromeをはじめとする多くのブラウザで、SSL化されていないサイトに対して警告が表示されるようになりました。
ITmediaの記事「HTTPを使うWebサイトはすべて『安全ではない』――Google Chromeで明示へ」「Google Chrome、HTTPSサイトの『保護された通信』を非表示に 『デフォルトで安全が前提』」でも報じられている通り、今やSSLはウェブサイト運営に欠かせない要素となっています。
しかし、ウェブ担当者の方でも、SSLについて「なんとなく知っているけど、詳しいことはわからない…」という方も多いのではないでしょうか? また、「TLSって聞いたことはあるけど、SSLと何が違うの?」と疑問に思っている方もいるかもしれません。
この記事では、SSLについて改めて基礎から解説します。
SSLの仕組みや導入方法はもちろん、TLSとの違いについてもわかりやすく説明しますので、ぜひ最後まで読んで理解を深めてください。
SSL・TLSとは
SSLとは
SSL(Secure Sockets Layer)は、インターネット上でやり取りされる情報を保護するための技術です。
具体的には、ウェブサイトで個人情報やクレジットカード番号などの重要な情報を入力する際、SSLが情報を暗号化して送信します。暗号化とは、情報を第三者には解読できない形式に変換することで、盗聴や改ざんを防ぐことができます。
SSLは、ウェブサイトのURLが「http」ではなく「https」で始まる場合に利用されています。また、ブラウザのアドレスバーに鍵マークが表示されることで、SSLが有効になっていることが確認できます。
SSLは、主に以下の3つの機能を持っています。
- 暗号化:通信内容を暗号化することで、盗聴を防ぎます。
- 認証:ウェブサイトの運営者が正当であることを証明し、なりすましを防ぎます。
- 改ざん検知:通信内容が途中で改ざんされていないことを確認します。
SSLは、1990年代にNetscape Communications社によって開発されましたが、セキュリティ上の脆弱性が発見されたため、現在では後継技術であるTLSが主流となっています。
TLSとは
TLS(Transport Layer Security)は、SSLの後継技術であり、インターネット通信のセキュリティを確保するためのプロトコルです。
TLSは、SSLの脆弱性を克服し、より強固なセキュリティを提供します。SSLと同様に、TLSも情報の暗号化、認証、改ざん検知の機能を持っています。
TLSは、SSLよりも新しい暗号化アルゴリズムを採用しており、セキュリティ強度が向上しています。また、TLSは定期的にバージョンアップが行われており、最新のセキュリティ脅威に対応できるようになっています。
現在では、TLS 1.2やTLS 1.3といったバージョンが広く利用されており、SSLはほとんど使われなくなっています。
SSLとTLSは、どちらもインターネット通信のセキュリティを確保するために重要な技術ですが、TLSはSSLよりも安全性が高く、現在ではTLSが主流となっています。
SSLとTLSの違い
SSL(Secure Sockets Layer)とTLS(Transport Layer Security)は、どちらもインターネット上で安全に情報をやり取りするための技術ですが、いくつかの違いがあります。
| 項目 | SSL | TLS |
| 開発時期 | 1990年代 | 1999年 |
| バージョン | 3.0まで | 1.0~1.3 |
| 暗号化方式 | RC4, DESなど | AES, ChaCha20など |
| 認証方式 | 脆弱性あり | 公的認証局による認証 |
| セキュリティ | 低い | 高い |
| 利用状況 | ほぼ廃止 | 広く利用されている |
暗号化方式
SSLで使用されていたRC4やDESといった暗号化方式は、現在では安全性が低いとされています。TLSでは、AESやChaCha20といったより高度な暗号化方式が採用されており、セキュリティが強化されています。
認証方式
SSLでは、認証機能に脆弱性があり、証明書の偽装などが可能でした。TLSでは、公的な認証局によって発行された証明書を用いた認証が必須となっており、より安全な認証が行われます。
プロトコルバージョン
SSLはバージョン3.0までしか存在せず、セキュリティ上の問題から現在ではほとんど使用されていません。TLSはバージョン1.0から始まり、現在ではTLS 1.3が最新バージョンとして広く利用されています。
セキュリティと利用状況
TLSは、SSLよりもセキュリティが高く、現在ではウェブサイトのセキュリティ確保のために広く利用されています。Googleなどの検索エンジンも、TLSを使用しているウェブサイトを優先的に表示する傾向があるため、SEO対策としても重要です。
SSLを導入するメリット
SSLを導入するメリットは以下の通りです。
セキュリティを向上させる
SSLは通信内容を暗号化するため、盗聴・改ざん・なりすましの被害を防ぐことができます。
個人情報やクレジットカード情報の送信など、セキュリティが必要な情報を扱うサイトにとって、SSLは必須の対策となります。
ユーザーに与える信頼感を向上させる
SSLを導入することで、ウェブサイトのURLが「http」から「https」に変わります。また、ブラウザのアドレスバーに鍵マークが表示されるため、ユーザーは視覚的にウェブサイトの安全性を確認できます。
SSLは、ウェブサイトが信頼できる第三者機関によって認証されていることを示すため、ユーザーに安心感を与え、信頼性を向上させる効果があります。
検索エンジンでのSEO対策に有効
Googleは、SSLを導入しているウェブサイトを優先的に検索結果に表示する方針を打ち出しています。SSLは、ウェブサイトのセキュリティを高めるだけでなく、SEO対策としても有効な手段です。
Cookieの制限緩和
Cookieとは、ウェブサイトがユーザーのブラウザに保存する小さなデータファイルで、ログイン情報やショッピングカートの中身などを記憶するために使用されます。
HTTPS通信では、Cookieが暗号化されるため、第三者によるCookieの盗み取りや改ざんを防ぐことができます。また、EUのGDPR(一般データ保護規則)など、Cookieの利用に関する規制が強化されている地域では、HTTPS通信を使用することでCookieの利用制限を緩和できる場合があります。
SSLの導入方法
SSLの導入は、大きく分けて以下のようなステップとなります。
- STEP
契約ドメイン・サーバ情報の確認
自サイトが置かれているサーバの情報や、ドメイン(WHOIS情報)を確認します。 - STEP
CSRの作成
SSLサーバ証明書の発行を申請するために、サーバ上でCSR(Certificate Signing Request)を作成します。 - STEP
申し込み
証明書認証局へ証明書を発行してもらう申請を出します。申込みは認証局やSSL証明書の種類により異なりますが、登記簿謄本や企業実印済みの申請書、印鑑証明書等が必要となる場合があります。
- STEP
インストール
認証局の審査が終わり無事発行されたSSLサーバ証明書をサーバへ保存しインストールします。 - STEP
実サイト上で確認
正常にSSL化できるか確認します。http接続しているコンテンツが混在している場合はURL指定の変更、Wordpress管理画面からの編集、http://からhttps://へのリダイレクト設定などを行う必要があります。
SSLの導入には、現在のサーバ環境の確認やインストールなど、サーバやサイトに関する基礎的な知識が必要です。また、書類提出が必要な場合もあり、手続きには面倒な部分があります。
しかし、レンタルサーバーやレジストラなど、契約しているサービスプロバイダによっては、SSLの導入を代行してくれるサービスもあります。これらのサービスは基本的に有料ですが、自力で導入するよりも手間が少なくなるため、利用する価値があります。
ただし、これらのサービスを利用する場合でも、ある程度の知識や作業が必要となることがあります。そのため、専門的なサポートを受けながらSSLの導入を行うことが安心です。
まとめ
過去には「セキュリティ対策として導入しておくと安心」という認識だったSSLも、現在ではウェブサイト運営において必須の要素となりました。
ECサイトなど個人情報を扱うサイトはもちろん、お問い合わせフォームの有無に関わらず、すべてのウェブサイトがSSL化に対応する必要があります。
SSL化されていないウェブサイトは、ブラウザ上で「安全ではない」と表示され、ユーザーからの信頼を失う可能性があります。また、検索エンジンからの評価も低くなり、検索順位が下がる可能性もあります。
未対応のウェブサイトをお持ちの方は、早急にSSL化に対応することを強くおすすめします。SSL化は、ウェブサイトの信頼性と安全性を高めるだけでなく、ユーザーにとっても安心・安全なインターネット環境を提供することにつながります。
SSL対応でお困りの方へ
レジストラにSSL化対応サービスがなく、自力での導入が分からない場合は、弊社でもSSL化対応に関するご相談・ご対応を承っております。
セキュリティに関するご相談はもちろんのこと、アクセスアップや問い合わせ数の増加など、集客に関するお悩みもお気軽にご相談ください。
