今や企業・個人を問わず、多くの方がWEBサイトへSSLを導入されるようになりました。
もう、WEBサイトのSSL化はデフォルトといっても過言ではないですね。
正直、レンタルサーバーを利用していると、SSLが何かを知らなくても簡単に導入できてしまいます。
実際、「SEO対策になるからとりあえず設定しておこう」という方も多いです。
そこで、こちらの記事ではSSLについてまとました。
"そもそもSSLって何?"と思っている方は、一度こちらの記事を読んでいただけると幸いです。
SSL(SSL/TLS)について
SSLについて
SSLとは「Secure Socket Layer」の略で、本来の役割は"データの暗号化"です。
ですが、以前は、インストールに必要なSSL証明書の購入費用が高くて、ほとんどのWEBサイトで利用されていないかったです。
一昔前だと安くても数万円程度はかかっており、個人はもちろん中小企業でも導入されているWEBサイトはほぼありませんでした。
また、サーバーへSSLのインストールを行うのにも、それなりの知識が必要です。
SSLを利用する場合には、まずはSSL証明書を購入して、そのSSL証明書をサーバーにインストール必要があります。
■CSRの作成
↓
■SSL証明書の購入
↓
■証明書をサーバーへインストール
素人ではSSLのインストールは難しく、WEB制作会社に依頼するのが一般的でした。
その為、SSL証明書の購入費用に加えて、制作会社へ依頼するための費用も必要になりました。
その為、以前は費用面と技術面がネックになってSSLの導入はとてもハードルが高かったです。
導入されているのは、大手企業やECサイト、個人情報などの重要情報を取り扱うようなサイトのみでした。
しかも、サイト全体ではなくて、決済フォームやお問い合わせフォームなど重要な個人情報を入力するページのみへの導入にとどまっていました。
ですが、格安SSLというものが普及し始めたり、「Let’s Encrypt」という無料SSLが登場してから、費用面でのハードルが下がりました。
長い間WEB制作の世界にいましたが、個人的にはこの無料SSLの登場は衝撃が大きかったです。
また、レンタルサーバーを利用している場合には、コントロールパネル上から無料SSLを簡単にインストールできるようにもなりました。
その為、技術的な障壁もほぼなくなりました。
それに加えて、Googleが「常時SSL化(サイト全体のHTTPS通信の強制化)の導入を検索順位の指標の一つにする」と発表ことも大きかったです。
SSLがSEO対策になる!と一気に広まり、企業サイトだけでなくて個人でも導入するサイトが爆発的に増えました。
今はSEO対策の為にSSLを導入する方も多く、本来のSSLの役割を理解されていない方も多いです。
ですが、それによってSSLを導入するサイトが増えるというのは良いことです。
WEBサイトを安全に保つことは、訪問者が様々な被害にあうことを防いでくれます。
もちろん、SSLの導入だけでは、完全に安全なWEBサイト運営を行えるわけではないです。
ですが、少しでもWEBサイトのセキュリティ強度を上げることはとても重要です。
SSL/TLSとは
SSLについて調べていると、よく「SSL/TLS」と表示されていると思います。
これは、自分たちがSSLと呼んでいるモノの正体は、実際にはSSLではなくてTLSというものだからです。
というのも、もうSSLというものは利用されていません。
SSLはバージョン3.0まで開発をすすめられていたのですが、どうにもできない欠陥がSSLに見つかりました。
そこで根本から設計しなおされたのがTLSというものになります。
TLSは「Transport Layer Security」の略で、SSLの役割を引き継ぎつつも、SSLとは別物として開発されたモノになります。
ですが、世の中では既にSSLという名前で普及してしまっていたので、「SSL/TLS」と表記するようになりました。
※「SSL」と表示している場合にも、実際に使用しているのはTLSになります。
SSLとTLSに大きな差はないので、名称の違いを意識する必要はないのです。
ですが、正確には別物だということは、頭の片隅にでも置いておきましょう。
HTTPS通信のメリット・役割
HTTPS通信の役割は「データの暗号化」です。
その為、WEBサイトを安全に保てるというメリットがあります。
他にも、SSLの導入はGoogleでの検索順位にも影響するのでSEO対策にもなります。
また、ユーザーに安心感を与えられるので、サイトからの離脱を防げるメリットもあります。
- WEBサイトを安全に保てる
- SEO対策になる
- WEBサイトからの離脱を防げる
WEBサイトを安全に保てる
SSLの主な機能は、"インターネット上で送受信するデータの暗号化"です。
例えば、ユーザーがお問い合わせフォームに情報を入力した場合、その情報はサーバーに送られて様々な処理が行われます。
そして、その情報は、またブラウザ上(確認画面)に返ってきます。
このサーバーとの送受信の際に情報が引き抜かれてしまう可能性があります。
ですが、HTTPSで通信していると、その情報は暗号化されています。
万が一にも、悪意のあるユーザーに情報が引き抜かれても、暗号化されていれば安全ですよね。
暗号化されたデータは解読されることもないので、情報を安全に保つことができます。
もちろん、SSLを導入しただけで悪意のあるユーザーからサイトを完全に保護できるわけではありません。
ですが、サイトの安全性は格段に上がるので、SSLの役割はとても大きいです。
SEO対策になる
HTTPS通信を行うことはGoogleの検索順位にも影響します。
その為、SSLを導入するだけでSEO対策にもなります。
ただ、SSLの導入の検索順位への影響は大きなシグナルではないので、極端な順位上昇が見込める訳ではありません。
とはいっても、少しでもSEO対策になるのであれば、設定しておくに越したことはないですね。
WEBサイトからの離脱を防げる
HTTPのまま通信していると、ブラウザ上に「保護されていない通信」という警告メッセージが出ます。
Chromeの場合にはこのように表示されます。
この警告メッセージをユーザーが目にすると、「このサイト危険なのでは?」と思われてしまいます。
ユーザーの不安はサイトからの離脱にもつながります。
ユーザーが少しでも安心してサイトを利用できるようにするためにもSSLの設定は必須と言えます。
常時SSL化とは
常時SSL化というのは、サイト全体を常にHTTPS通信でアクセスできるようにすることです。
例えば、レンタルサーバーのコントロールパネル上からSSLを導入しても、それはあくまでSSLをインストールしただけです。
「https://~」のURLへアクセスできるようになっただけです。
インストールが完了したらHTTPS通信できるようになりますが、HTTP通信のURLへもアクセスできてしまいます。
そこで、.htaccessを使ったり、プラグイン(WordPressを使っている場合)を使うなどして、「http://~」を「https://~」へ強制的リダイレクトさせておく必要があります。
そのリダイレクト設定まで行うことを、一般的には常時SSL化と呼んだりします。
もちろん常時SSL化の設定を行わなくてもサイト運営を行えます。
ですが、それだとHTTPとHTTPSのURLがサイト内に混在することになります。
それは健全な状態ではないので、SSLをインストールした後には必ずHTTPSへリダイレクト設定まで行っておきましょう。
SSL証明書の種類は3タイプある(認証レベルの違い)
SSLを利用するには、SSL証明書の購入が必要になります。
このSSL証明書には、認証レベルの違いから「ドメイン認証SSL(DV)」「企業認証SSL(OV)」「EV認証SSL(EV)」の3つのタイプが存在します。
我々が一般的にWEBサイトで利用しているのは「ドメイン認証SSL」というものになり、"ドメイン所有権の証明"のみを行うタイプになります。
ですが「企業認証SSL」「EV認証SSL」には、「サイト運営元の実在性証明」という役割もあり、サイトの信頼性をより高めてくれます。
ですが、「企業認証SSL」「EV認証SSL」はかなりの高額になる上、そもそも個人のサイトに導入できるようなモノではありません。
もし個人でサイト運営を行っている場合にはあまり関係のない話になりますが、良ければ目を通してみてください。
ドメイン認証SSL(DV)
「ドメイン認証SSL」は、一番基本となるタイプのSSL証明書で、主な役割は「ドメイン所有権の証明」になります。
その為、証明書の取得には"ドメインの所有者であること"を証明する必要があります。
ですが、ドメイン所有権の証明は全てオンライン上で行うことが出来き、審査など面倒な手続きも不要です。
この、証明書の発行に時間が掛からない点も「ドメイン認証SSL」の特徴です。
一昔前は「ドメイン認証SSL」もそれなりの費用が掛かっていました。
ですが、今は「Let's Encrypt」という無料の独自SSLもありますし、格安SSLも多く販売されています。
その為、「ドメイン認証SSL」の導入は、かなりハードルが下がりました。
個人運営のサイトレベルであれば、この「ドメイン認証SSL」のタイプで全く問題はありません。
企業認証SSL(OV)
「企業認証SSL」は、「ドメインに登録されているサイト運営元の団体が実在していること」まで証明する必要があります。
"サイト運営元の実在性の証明"まで行えるので、フィッシング詐欺の対策にも有効になります。
SSL証明書の発行元は、以下のような対応を行った上で証明書の発行を行ってくれます。
その為、「ドメイン認証SSL」と比べると、WEBサイトへの信頼性が大幅に上がります。
・第三者データベースに登録されている代表電話番号に実際に電話を掛けて、申し込みの意思確認まで行う
SSL証明書の発行元によって認証方法は異なります。
ですが、一般的には上記のような対応で認証が行われます。
EV認証SSL(EV)
「EV認証SSL」では、サイト運営元の実在性をさらに厳しく審査してSSL証明書の発行を行います。
それにより、法的にだけでなく、物理的にも組織が存在していることを証明できます。
その為、「企業認証SSL」と比べても非常に信頼性の高いSSL証明書になります。
また、ブラウザのアドレスバーにサイト運営元の組織名が表示されます。
サイト訪問者への安全性アピールに加えて、サイトのブランディングにもなります。
「EV認証SSL」は、個人情報やクレジットカード情報などとても重要なデータを入力する必要のある会員制サイトやECサイトに向いています。
さらに、金融機関や公的機関、知名度の高い企業サイトなど、信頼性をより重要視されるサイトにもおすすめです。
SSLの種類のまとめ
SSL証明書の3つのタイプについて、表にしてまとめておきます。
因みに、SSL本来の役割である"インターネット上でのデータの暗号化"については、いずれのタイプのSSL証明書を利用しても変わりません。
ドメイン認証SSL(DV) | 企業認証SSL(OV) | EV認証SSL(EV) | |
---|---|---|---|
信頼性 | 普通 | 高い | 非常に高い |
料金 | 比較的安い ※無料SSLもある | 高い | かなり高い |
導入のハードル | 低い ※個人での取得も可 | 高い ※法人のみ取得可 | かなり高い ※法人のみ取得可 |
発行までにかかる時間 | 数分~ | 数日 | 数週間 |
基本仕様 | ・ドメイン所有権の証明 | ・ドメイン所有権の証明 ・運営団体の実在性の証明 | ・ドメイン所有権の証明 ・運営団体の実在性の証明 ・アドレスバーに組織名を表示(※1) |
フィッシング詐欺対策 | 有効 | 有効 | 非常に有効 |
なりすまし対策 | まあまあ有効 | 有効 | 非常に有効 |
おすすめサイト | 個人サイト、企業サイト、社内向けサイトなど | 会員制サイト、ECサイト、企業サイト | 金融機関、公的機関、知名度の高い企業のサイト |
(※1)FirefoxやIE(Internet Explorer)では、アドレスバーが緑色で表示されます。
無料SSL(Let’s Encrypt)について
「Let’s Encrypt」というのはISRG(Internet Security Research Group)という団体により運営されている無料で利用できる独自SSLになります。
私が知る限りは、無料の独自SSLというのは恐らく「Let’s Encrypt」のみです。
その為、レンタルサーバーのコントロールパネル上からインストールできる無料独自SSLというのは、一般的には「Let’s Encrypt」が多いです。
ただ、本来は有料のはずのSSLを無償提供されている場合もあります。
例えば、「ConoHa WING」ではアルファSSLを無償提供されています。
「Let’s Encrypt」は、いわゆる「ドメイン認証(DV)」と呼ばれるタイプのSSLで、証明書の有効期限が90日間と短いです。
- ドメイン認証(DV)
- 証明書の有効期限は90日間
- 完全無料で利用できる
Let’s Encryptはドメイン認証タイプ
「Let’s Encrypt」はドメイン認証タイプの独自SSLになるので、「ドメイン所有権の証明」と「データの暗号化」が役割になります。
個人でサイトを運営している場合や、とりあえずSSLの基本的な機能を利用出ればいいという方は「Let’s Encrypt」で全く問題はありません。
ただ、例えば「サイト運営元の実在性」の証明まで必要だという場合には、「Let’s Encrypt」では役不足になります。
その場合には、有料の企業認証タイプやEVタイプのSSL証明書を購入しましょう。
証明書の有効期限は90日
有料の独自SSLの場合、そのSSL証明書の有効期限は1年です。
ですが、「Let’s Encrypt」の場合には90日と短く設定されています。
その為、本来は90日毎に更新作業を行う必要があります。
ただし、レンタルサーバーの場合には90日経過すれば自動で更新されるように設計されています。
その為、我々レンタルサーバーの利用者が有効期限を意識する必要はありません。
また、VPSや専用サーバーを利用している場合でも、簡単なコマンドの実行で自動更新の設定を行えるようになっています。
実行するコマンドについても多くの方が公開してくれているので、自動更新設定のハードルはどこまで高くはないです。
完全無料で利用できる
上記でも説明しましたが、「Let’s Encrypt」は誰でも無料で利用できるようなっています。
もちろん無料だからと言って、有料の独自SSLよりも機能面で劣っているわけではありません。
「データの暗号化」が目的になるので、無料でも有料でも大きな違いはないです。
Let’s Encryptのデメリット
Let’s Encryptのデメリットは、以下の3つです。
- 有効期限が90日と短い
- フィッシング詐欺の対策には不向き
- なりすまし詐欺の対策には不向き
上記でも説明したように、Let’s Encryptの有効期限は90日と短いです。
また、フィッシング詐欺やなりすまし詐欺の対策には利用できないのもデメリットです。
もし、これらの詐欺にも対応したい場合には、有料のSSL証明書を購入しましょう。
有料SSLが必要なWEBサイト
以下のようなWEBサイトでは、有料のSSL証明書の購入をおすすめします。
- 企業サイト・コーポレートサイト
- ECサイトなど決済システムを導入しているサイト
- 個人情報を取り扱うサイト
- 官公庁や自治体、教育機関などの高度なセキュリティを求められるサイト
最近は、本物の企業サイト・コーポレートサイトに似せたWEBサイトを作成して、クレジットカード情報や会員サイトのID・パスワードを盗まれる被害も増えています。
そういったフィッシング詐欺に自社のサイトは利用されないために、企業サイトには「企業認証SSL(OV)」の利用がおすすめです。
「企業認証SSL(OV)」であれば、運営法人・団体の実在性までを証明してくれるので、非常に安心です。
また、決済システムを利用するECサイトや、個人情報などを扱うWEBサイトでは、「EV認証SSL(EV)」の利用もおすすめです。
フィッシング詐欺の対策だけでなく、より安全性をアピールできるので、ユーザーも安心してWEBサイトを閲覧することができます。
公的機関のWEBサイトも同様ですね。
特に、こういった"無条件に信頼性の高いと思われてしまうWEBサイト"は、悪用されると大変です。
その為、より高度なセキュリティを求められるSSL証明書の利用が必要となります。
決して、"WEBサイトのSSL化 = 100%安全"という訳ではありません。
フィッシング詐欺などに利用されないためにも、状況によっては有料のSSL証明書の購入も検討しましょう。
もし、有料のSSL証明を購入する場合には、エックスサーバーSSL(Xserver SSL)もおすすめです。
他社サービスよりも比較的安い値段で購入できるので、一度チェックしてみてください。
まとめ
こちらの記事ではSSLについて説明しました。
サイトへのSSLの導入は必須の時代になっていて、今やレンタルサーバーのコントロールパネル上からでも無料で簡単にインストールできるようになっています。
その為、普段SSLについて深く知る機会もないですし、そもそもSSLが何かということを知らなくてもサイト運営は可能です。
ですが、せっかくなのでSSLが何かということも勉強してみましょう!