SSL(SSL/TLS)についてのまとめ。SSLのメリットや役割、種類などを詳しくまとめました。
今や企業・個人を問わずに多くの方がサイトへSSLを導入されるようになりました。
もうSSLの設定はデフォルトといっても過言ではないですね。
正直、レンタルサーバーを利用しているとSSLが何を知らなくても簡単に導入できてしまいます。
実際、「SEO対策になるからとりあえず設定しておこう」という方も多いです。
そこで、こちらの記事ではSSLについてまとました。
「そもそもSSLって何?」と思っている方は、一度こちらの記事を読んでいただけると嬉しいです。
SSLについて
SSLとは「Secure Socket Layer」の略で、本来の役割は「データの暗号化」となります。
SSLを利用する場合には、まずはSSL証明書を購入して、その証明書をサーバーにインストール必要があります。
■CSRの作成
↓
■SSL証明書の購入
↓
■証明書をサーバーへインストール
問題なのはSSL証明書の購入費用の高さです。
一昔前は安くても3万円程度はかかっていたので、個人はもちろん中小企業でも導入されるサイトはほぼありませんでした。
それに、サーバーへのインストールもそれなりの知識が必要です。
その為、以前は費用面と技術面がネックになってSSLの導入はとてもハードルが高かったです。
導入されているのは大手企業や個人情報を取り扱うようなサイトのみでした。
しかも、大手企業でもサイト全体ではなくてお問い合わせフォームなど個人情報を入力するページのみへの導入にとどまっていました。
ですが、格安SSLというものが普及し始めたり、「Let’s Encrypt」という無料SSLが登場してから、費用面でのハードルが下がりました。
長い間WEB制作の世界にいましたが、個人的にはこの無料SSLの登場は衝撃が大きかったです。
また、レンタルサーバーを利用している場合には、コントロールパネル上から無料独自SSLを簡単にインストールできるようにもなりました。
その為、技術的障壁もほぼなくなりました。
それに加えて、Googleが「常時SSL化(サイト全体のHTTPS通信の強制化)の導入を検索時の指標の一つにする」と発表ことも大きかったです。
SSLがSEO対策になる!と一気に広まって企業サイトだけでなくて個人でも導入するサイトが爆発的に増えました。
今はSEO対策の為にSSLを導入する方も多いです。
ですが、それによってSSLを導入するサイトが増えるというのはいいことです。
サイトを安全に保つことは訪問者が様々な被害にあうことも防いでくれます。
もちろんSSLの導入だけで安全にサイト運営を行えるわけではないですが、少しでもセキュリティ強度を上げることはとても重要です。
SSL/TLSとは
SSLについて調べていると、よく「SSL/TLS」と表示されていると思います。
これは、自分たちがSSLと呼んでいるモノの正体は、実際にはSSLではなくてTLSというものだからです。
というのも、もうSSLというものは利用されていません。
SSLはバージョン3.0まで開発をすすめられていたのですが、どうにもできない欠陥がSSLに見つかりました。
そこで根本的から設計しなおされたのがTLSというものになります。
TLSは「Transport Layer Security」の略で、SSLの役割を引き継ぎつつも、SSLとは別物として開発されたモノになります。
ですが、世の中では既にSSLという名前で普及してしまっていたので、「SSL/TLS」と表記するようになりました。
※「SSL」と表示している場合にも、実際に使用しているのはTLSになります。
SSLとTLSに大きな差はないので、名称の違いを意識する必要はないのです。
ですが、正確には別物だということは覚えておきましょう。
HTTPS通信のメリット・役割
HTTPS通信の役割は「データの暗号化」です。
その為、サイトを安全に保てるというメリットがあります。
他にも、SSLの導入はGoogleでの検索順位にも影響するのでSEO対策にもなります。
また、ユーザーに安心感を与えられるので、サイトからの離脱を防げるメリットもあります。
■サイトを安全に保てる
■SEO対策になる
■サイトからの離脱を防げる
サイトを安全に保てる
SSLの主な機能は「データの暗号化」です。
例えば、ユーザーがお問い合わせフォームに情報を入力した場合、その情報はサーバーに送られて様々な処理されます。
このサーバーに送信される際に情報が引き抜かれてしまう可能性があります。
ですが、HTTPSで通信していると、その情報は暗号化されます。
万が一にも情報が引き抜かれても暗号化されていれば安全ですね。
暗号化されたデータは解読されることもないので、サイトを安全に保つことができます。
もちろん、SSLを導入しただけで悪意のあるユーザーからサイトを完全に保護できるわけではありません。
ですが、サイトの安全性は格段に上がるので、SSLの役割はとても大きいです。
SEO対策になる
HTTPS通信を行うことはGoogleの検索順位にも影響します。
その為、SSLを導入するだけでSEO対策にもなります。
ただ、SSLの導入の検索順位への影響は大きなシグナルではないので、極端な順位上昇が見込める訳ではありません。
とはいっても、少しでもSEO対策になるのであれば、設定しておくに越したことはないですね。
サイトからの離脱を防げる
HTTPのまま通信していると、ブラウザ上に「保護されていない通信」という警告メッセージが出ます。
Chromeの場合にはこのように表示されます。
この警告メッセージをユーザーが目にすると、「このサイト危険なのでは?」と思われてしまいます。
ユーザーの不安はサイトからの離脱にもつながります。
ユーザーが少しでも安心してサイトを利用できるようにするためにもSSLの設定は必須と言えます。
常時SSL化とは
常時SSL化というのは、サイト全体を常にHTTPS通信でアクセスできるようにすることです。
例えば、レンタルサーバーのコントロールパネル上からSSLを導入しても、それはあくまでSSLをインストールしただけです。
インストールが完了したらHTTPS通信できるようになりますが、HTTP通信のURLへもアクセスできてしまいます。
そこで、.htaccessを使ったり、プラグイン(WordPressを使っている場合)を使うなどして、HTTPを強制的にHTTPSへリダイレクトさせておく必要があります。
そのリダイレクト設定まで行うことを、一般的には常時SSL化と呼んだりします。
もちろん常時SSL化の設定を行わなくてもサイト運営を行えます。
ですが、それだとHTTPとHTTPSのURLがサイト内に混在することになります。
それは健全な状態ではないので、SSLをインストールした後には必ずHTTPSへリダイレクト設定まで行っておきましょう。
SSLの種類は3タイプある
SSLには、実は「ドメイン認証SSL(DV)」「企業認証SSL(OV)」「EV認証SSL(EV)」の3つのタイプが存在します。
我々が一般的にSSLと呼んでいるのは「ドメイン認証SSL」というものになり、「データの暗号化」のみを行うタイプになります。
ですが「企業認証SSL」「EV認証SSL」にはそれ以外にも「サイト運営元の実在性証明」といった役割もあり、サイトの信頼性をより高めてくれます。
ですが、「企業認証SSL」「EV認証SSL」はかなりの高額になる上、そもそも個人のサイトに導入できるようなモノではありません。
もし個人でサイト運営を行っている場合にはあまり関係のない話になりますが、良ければ目を通してみてください。
ドメイン認証SSL(DV)
「ドメイン認証SSL」は一番基本となるタイプのSSLで、主な役割は「データの暗号化」になります。
証明書の取得には「ドメインの所有者であること」を証明する必要があります。
ですが、ドメイン所有権の証明は全てオンライン上で行うことが出来き、な審査など面倒な手続きも不要です。
この、証明書の発行に時間が掛からない点も「ドメイン認証SSL」の特徴です。
一昔前は「ドメイン認証SSL」もそれなりの費用が掛かっていました。
が、今は「Let's Encrypt」という無料の独自SSLもありますし、格安SSLも多く販売されています。
その為、「ドメイン認証SSL」はかなりハードルが下がりました。
例えば、フィッシング詐欺の対策などは行えません。
ですが、個人運営のサイトレベルであれば、この「ドメイン認証SSL」のタイプで全く問題はありません。
企業認証SSL(OV)
「企業認証SSL」は、「ドメインに登録されているサイト運営元の団体が実在していること」まで証明する必要があります。
サイト運営元の実在性まで証明されるので、フィッシング詐欺の対策にも有効になります。
SSL証明書の発行元は、以下のような対応を行った上で証明書の発行を行ってくれます。
その為、「ドメイン認証SSL」と比べると、サイトへの信頼性が大幅に上がります。
・第三者データベースに登録されている代表電話番号に実際に電話を掛けて、申し込みの意思確認まで行う
EV認証SSL(EV)
「EV認証SSL」では、サイト運営元の実在性をさらに厳しく審査してSSL証明書の発行を行います。
その為、「企業認証SSL」と比べても非常に信頼性の高い証明書になります。
また、ブラウザのアドレスバーにサイト運営元の組織名が表示されます。
サイト訪問者への安全性アピールに加えて、サイトのブランディングにもなります。
「EV認証SSL」は、個人情報やクレジットカード情報などとても重要なデータを入力する必要のある会員制サイトやECサイトに向いています。
さらに、金融機関や公的機関、知名度の高い企業サイトなど、信頼性をより重要視されるサイトにもおすすめです。
SSLの種類のまとめ
SSLのの3つのタイプについて、表にしてまとめておきます。
| ドメイン認証SSL(DV) | 企業認証SSL(OV) | EV認証SSL(EV) | |
|---|---|---|---|
| 信頼性 | 普通 | 高い | 非常に高い |
| 料金 | 比較的安い ※無料SSLもある |
高い | かなり高い |
| 導入のハードル | 低い ※個人での取得も可 |
高い ※法人のみ取得可 |
かなり高い ※法人のみ取得可 |
| 発行までにかかる時間 | 数分~ | 数日 | 数週間 |
| 基本仕様 | ・通信データの暗号化 | ・通信データの暗号化 ・運営団体の実在性の証明 |
・通信データの暗号化 ・運営団体の実在性の証明 ・アドレスバーに組織名を表示(※1) |
| フィッシング詐欺対策 | × | 有効 | 非常に有効 |
| おすすめサイト | 個人サイト、企業サイト、社内向けサイトなど | 会員制サイト、ECサイト、企業サイト | 会員制サイト、ECサイト、金融機関、公的機関、知名度の高い企業のサイト |
(※1)FirefoxやIE(Internet Explorer)では、アドレスバーが緑色で表示されます。
無料SSL(Let’s Encrypt)について
「Let’s Encrypt」というのはISRG(Internet Security Research Group)という団体により運営されている無料で利用できる独自SSLになります。
私が知る限りは、無料の独自SSLというのは恐らく「Let’s Encrypt」のみです。
その為、レンタルサーバーのコントロールパネル上からインストールできる無料独自SSLというのは、一般的には「Let’s Encrypt」が多いです。
ただ、本来は有料のはずのSSLを無償提供されている場合もあります。
例えば、「ConoHa WING」ではアルファSSLを無償提供されています。
「Let’s Encrypt」は、いわゆる「ドメイン認証(DV)」と呼ばれるタイプのSSLで、証明書の有効期限が90日間と短いです。
■ドメイン認証(DV)
■証明書の有効期限は90日間
■完全無料で利用できる
ドメイン認証(DV)タイプのSSL
「Let’s Encrypt」はドメイン認証タイプの独自SSLになるので、「データの暗号化」が役割になります。
個人でサイトを運営している場合や、とりあえずSSLの基本的な機能を利用出ればいいという方は「Let’s Encrypt」で全く問題はありません。
ただ、例えば「サイト運営元の実在性」の証明まで必要だという場合には、「Let’s Encrypt」では役不足になります。
証明書の有効期限は90日間
有料の独自SSLの場合、そのSSLの有効期限は1年です。
ですが、「Let’s Encrypt」の場合には90日間と短く設定されています。
その為、本来は90日毎に更新作業を行う必要があります。
ただし、レンタルサーバーの場合には90日経過すれば自動で更新されるように設計されています。
その為、我々レンタルサーバーの利用者が有効期限を意識する必要はありません。
完全無料で利用できる
上記でも説明しましたが、「Let’s Encrypt」は誰でも無料で利用できるようなっています。
もちろん無料だからと言って、有料の独自SSLよりも機能面で劣っているわけではありません。
「データの暗号化」が目的になるので、無料でも有料でも大きな違いはないです。
まとめ
こちらの記事ではSSLについて説明しました。
サイトへのSSLの導入は必須の時代になっていて、今やレンタルサーバーのコントロールパネル上から無料で簡単にインストールできるようになっています。
その為、普段SSLについて深く知る機会もないですし、そもそもSSLが何かということを知らなくてもサイト運営は可能です。
ですが、せっかくなのでSSLが何かということも勉強してみましょう!
