今や企業・個人を問わず、多くの方がWebサイトへSSLを導入されるようになりました。
もう、WebサイトのSSL化は必須といっても過言ではないですね。
正直、レンタルサーバーを利用していると、SSLが何かを知らなくても簡単に導入できてしまいます。
実際、「SEO対策になるからとりあえず設定しておこう」という方も多いです。
そこで、こちらの記事ではSSLについてまとめました。
"そもそもSSLって何?"と思っている方は、一度こちらの記事を読んでいただけると幸いです。
こちらの記事は、プログラミング・Web制作歴15年以上、ブログ歴10年以上のプログラマーが書いています。
プライベートでも仕事でも多くのレンタルサーバーを利用してきた経験から、サーバーに関する豊富な知識をもとに書いています。
>> プロフィール
コンテンツ
SSL(SSL/TLS)について
SSLについて
SSLとは「Secure Socket Layer」の略で、本来の役割は"データの暗号化"です。
ですが、以前は、インストールに必要なSSL証明書の購入費用が高く、ほとんどのWebサイトで利用されていませんでした。
一昔前だと、安くても数万円程度はかかっており、個人はもちろん中小企業でも導入されているWebサイトはほぼありませんでした。
また、サーバーへSSLのインストールを行うのにも、それなりの知識が必要です。
SSLを利用する場合には、まずはSSL証明書を購入して、そのSSL証明書をサーバーにインストールする必要があります。
■CSRの作成
↓
■SSL証明書の購入
↓
■証明書をサーバーへインストール
素人ではSSLのインストールは難しく、Web制作会社に依頼するのが一般的でした。
そのため、SSL証明書の購入費用に加えて、制作会社へ依頼するための費用も必要になりました。
以前は、費用面と技術面がネックになってSSLの導入はとてもハードルが高かったです・・・
導入されているのは、大手企業やECサイト、個人情報などの重要情報を取り扱うようなWebサイトのみでした。
しかも、Webサイト全体ではなくて、決済フォームやお問い合わせフォームなど重要な個人情報を入力するページのみへの導入にとどまっていました。
ただ、格安SSLが普及し始めたり、「Let’s Encrypt」という無料SSLが登場してから、費用面でのハードルが下がりました。
長い間Web制作の世界にいますが、個人的には、特に無料SSLの登場は衝撃が大きかったです。
また、レンタルサーバーを利用している場合、コントロールパネル上から無料SSLを簡単にインストールできるようにもなりました。
それにより、技術的な障壁もほぼなくなりました。
それに加えて、Googleが「常時SSL化(Webサイト全体のHTTPS通信の強制化)の導入を検索順位の指標の一つにする」と発表したことも大きかったです。
SSLがSEO対策になる!と一気に広まり、企業サイトだけでなくて個人でも導入するWebサイトが爆発的に増えました。
今はSEO対策のためにSSLを導入する方も多く、本来のSSLの役割を理解されていない方も多いです。
とは言え、それによってSSL導入が進むのは良いことです。
Webサイトを安全に保つことは、訪問者が様々な被害にあうことを防いでくれます。
もちろん、SSLの導入だけでは、完全に安全なWebサイト運営を行えるわけではないです。
しかし、少しでもWebサイトのセキュリティ強度を上げることはとても重要です。
SSL/TLSとは
SSLについて調べていると、よく「SSL/TLS」と表示されていると思います。
これは、自分たちがSSLと呼んでいるモノの正体は、実際にはSSLではなくてTLSというものだからです。
というのも、既にSSLというものは利用されていません。
そこで、根本から設計しなおされたのがTLSというものになります。
TLSは「Transport Layer Security」の略で、SSLの役割を引き継ぎつつも、SSLとは別モノとして開発された規格になります。
ですが、世の中では既にSSLという名前で普及してしまっていたので、SSL/TLSと表記するようになりました。
※「SSL」と表示している場合にも、実際に使用しているのはTLSになります。
SSLとTLSに大きな差はない(もちろん安全性は大きく向上)ので、名称の違いを意識する必要はないです。
ただ、正確には別物だということは、頭の片隅にでも置いておきましょう。
HTTPS通信のメリット・役割
HTTPS通信の役割は「データの暗号化」です。
HTTPS通信というのは、SSLを利用した通信プロトコルのことです。
それにより、Webサイトを安全に保てるというメリットがあります。
他にも、SSLの導入は、Googleでの検索順位にも影響するので「SEO対策」にもなります。
また、ユーザーに安心感を与えられるので、Webサイトからの離脱を防げるメリットもあります。
- Webサイトを安全に保てる
- SEO対策になる
- Webサイトからの離脱を防げる
Webサイトを安全に保てる
HTTPS通信の主な機能は、"インターネット上で送受信するデータの暗号化"です。
例えば、ユーザーがお問い合わせフォームに情報を入力した場合、その情報はサーバーに送られて様々な処理が行われます。
そして、その情報は、またブラウザ上(確認画面)に返ってきます。
このサーバーとの送受信の際に情報が引き抜かれてしまう可能性があります。
ですが、HTTPSで通信していると、その情報は暗号化されています。
万が一、悪意のあるユーザーに情報が引き抜かれても、暗号化されていれば安全ですよね。
暗号化されたデータの解読は現実的には極めて困難なため、情報を安全に保つことができます。
もちろん、HTTPS通信を導入しただけで悪意のあるユーザーからWebサイトを完全に保護できるわけではありません。
ですが、Webサイトの安全性は格段に上がるので、SSLの役割はとても大きいです。
SEO対策になる
HTTPS通信を行うことは、Googleの検索順位にも影響します。
そのため、SSLを導入するだけでSEO対策にもなります。
ただ、HTTPS通信の検索順位への影響は大きなシグナルではないので、極端な順位上昇が見込める訳ではありません。
とはいっても、少しでもSEO対策になるのであれば、設定しておくに越したことはないですね。
Webサイトからの離脱を防げる
SSLを利用しないHTTPのまま通信していると、ブラウザ上に「保護されていない通信」という警告メッセージが出ます。
Chromeの場合にはこのように表示されます。
この警告メッセージをユーザーが目にすると、「このサイト危険なのでは?」と思われてしまいます。
ユーザーの不安はWebサイトからの離脱にもつながります。
ユーザーが少しでも安心してWebサイトを利用できるようにするためにもSSLの設定は必須と言えます。
常時SSL化とは
常時SSL化というのは、Webサイト全体を常にHTTPS通信でアクセスできるようにすることです。
「https://~」のURLへアクセスできるようになっただけです。
インストールが完了したらHTTPS通信できるようになりますが、HTTP通信のURLへもアクセスできてしまう状況と考えてください。
そうすることで、ユーザーは常にHTTPS通信でWebサイト内を回遊できる状態になります。
そのリダイレクト設定まで行うことで常時SSL化の設定が完了となります。
もちろん、常時SSL化の設定を行わなくてもWebサイト運営を行えます。
ただし、それだとHTTPとHTTPSの2つのURLが存在し、SEOの評価が分散してしまいます。
それは健全な状態ではないので、SSLをインストールした後には、必ずHTTPSへのリダイレクト設定まで行っておきましょう。
SSL証明書の種類は3タイプある(認証レベルの違い)
SSLを利用するには、SSL証明書の購入が必要になります。
このSSL証明書には、認証レベルの違いから「ドメイン認証SSL(DV)」「企業認証SSL(OV)」「EV認証SSL(EV)」の3つのタイプが存在します。
一方、「企業認証SSL」「EV認証SSL」には、「サイト運営元の実在性証明」という役割もあり、Webサイトの信頼性をより高めてくれます。
ただ、「企業認証SSL」「EV認証SSL」はかなりの高額になり、そもそも個人のWebサイトに導入できるようなモノではありません。
もし個人でWebサイト運営を行っている場合にはあまり関係のない話になりますが、良ければ目を通してみてください。
ドメイン認証SSL(DV)
ドメイン認証SSL(DV)は、一番基本となるタイプのSSL証明書で、主な役割は「ドメイン所有権の証明」になります。
そのため、証明書の取得には"ドメインの所有者であること"を証明する必要があります。
ですが、ドメイン所有権の証明は全てオンライン上で行うことができ、審査など面倒な手続きも不要です。
この証明書の発行に時間がかからない点も「ドメイン認証SSL」の特徴です。
一昔前だと「ドメイン認証SSL」もそれなりの費用がかかっていました。
ただ、今は「Let's Encrypt」という無料の独自SSLもありますし、格安SSLも多く販売されています。
それにより、「ドメイン認証SSL」の導入は、かなりハードルが下がりました。
個人運営のWebサイトであれば、この「ドメイン認証SSL」のタイプで全く問題はありません。
企業認証SSL(OV)
企業認証SSL(OV)は、「ドメインに登録されているサイト運営元の団体が実在していること」まで証明する必要があります。
"サイト運営元の実在性の証明"まで行えるので、フィッシング詐欺の対策にも有効になります。
SSL証明書の発行元は、以下のような対応を行った上で証明書の発行を行ってくれます。
- 帝国データバンクなどの第三者データベースへ照会して、法的に企業が存在していることを確認する
- 第三者データベースに登録されている代表電話番号に実際に電話をかけて、申し込みの意思確認まで行う
これにより、企業認証SSLは、「ドメイン認証SSL」と比べ、Webサイトへの信頼性が大幅に上がります。
SSL証明書の発行元によって認証方法は異なります。
ですが、一般的には上記のような対応で認証が行われます。
EV認証SSL(EV)
EV認証SSL(EV)では、サイト運営元の実在性をさらに厳しく審査してSSL証明書の発行を行います。
それにより、法的な存在だけでなく、物理的にも組織が存在していることを証明できます。
そのため、「企業認証SSL」と比べても非常に信頼性の高いSSL証明書になります。
また、ブラウザのアドレスバーにサイト運営元の組織名が表示されます。
サイト訪問者への安全性アピールに加えて、Webサイトのブランディングにもなります。
※以前はアドレスバーが緑色になり組織名が直接表示されていましたが、現在の主要ブラウザではアイコンをクリックすることで組織の詳細情報(実在証明)が確認できる仕様になっています。
「EV認証SSL」は、個人情報やクレジットカード情報などとても重要なデータを入力する必要のある会員制サイトやECサイトに向いています。
さらに、金融機関や公的機関、知名度の高い企業サイトなど、信頼性をより重要視されるWebサイトにもおすすめです。
SSLの種類のまとめ
SSL証明書の3つのタイプについて、表にしてまとめておきます。
因みに、SSL本来の役割である"インターネット上でのデータの暗号化"については、いずれのタイプのSSL証明書を利用しても変わりません。
| ドメイン認証SSL(DV) | 企業認証SSL(OV) | EV認証SSL(EV) | |
|---|---|---|---|
| 信頼性 | 普通 | 高い | 非常に高い |
| 料金 | 比較的安い ※無料SSLもある |
高い | かなり高い |
| 導入のハードル | 低い ※個人での取得も可 |
高い ※法人・団体・個人事業主が取得可(個人は不可) |
かなり高い ※法人のみ取得可 |
| 発行までにかかる時間 | 数分~ | 数日 | 数週間 |
| 基本仕様 | ・ドメイン所有権の証明 | ・ドメイン所有権の証明 ・運営団体の実在性の証明 |
・ドメイン所有権の証明 ・運営団体の実在性の証明 ・アドレスバーに組織名を表示(※1) |
| フィッシング詐欺対策 | 不向き | 有効 | 非常に有効 |
| なりすまし対策 | 不向き | 有効 | 非常に有効 |
| おすすめサイト | 個人サイト、企業サイト、社内向けサイトなど | 会員制サイト、ECサイト、企業サイト | 金融機関、公的機関、知名度の高い企業のサイト |
(※1)FirefoxやIE(Internet Explorer)では、アドレスバーが緑色で表示されます。
無料SSL(Let’s Encrypt)について
「Let’s Encrypt」というのはISRG(Internet Security Research Group)という団体により運営されている無料で利用できる独自SSLになります。
無料で利用できる独自SSLの代表格が「Let’s Encrypt」です(他にもZeroSSLやGoogle Trust Servicesなどがあります)。
そのため、レンタルサーバーのコントロールパネル上からインストールできる無料独自SSLというのは、一般的には「Let’s Encrypt」が多いです。
ただ、本来は有料のはずのSSLを無償提供されている場合もあります。
例えば、「ConoHa WING」ではアルファSSLが無償提供されています。
「Let’s Encrypt」は、いわゆる「ドメイン認証(DV)」と呼ばれるタイプのSSLで、証明書の有効期限が90日間と短いです。
- ドメイン認証(DV)
- 証明書の有効期限は90日間
- 完全無料で利用できる
Let’s Encryptはドメイン認証タイプ
「Let’s Encrypt」はドメイン認証タイプの独自SSLになるので、「ドメイン所有権の証明」と「データの暗号化」が役割になります。
個人でWebサイトを運営している場合や、とりあえずSSLの基本的な機能を利用できればいいという方は「Let’s Encrypt」で全く問題はありません。
ただ、例えば「サイト運営元の実在性」の証明まで必要だという場合には、「Let’s Encrypt」では役不足になります。
その場合には、有料の企業認証タイプやEVタイプのSSL証明書を購入しましょう。
証明書の有効期限は90日
有料の独自SSLの場合、そのSSL証明書の有効期限は1年です。
それに対し、「Let’s Encrypt」の場合には90日と短く設定されています。
そのため、90日毎に更新作業を行う必要があります。
ただし、レンタルサーバーの場合には、有効期限が近づくと(期限切れになる前に)自動で更新されるように設計されています。
つまり、我々レンタルサーバーの利用者が有効期限を意識する必要はありません。
また、VPSや専用サーバーを利用している場合でも、簡単なコマンドの実行で自動更新の設定を行えるようになっています。
実行するコマンドについても多くの方が公開してくれているので、自動更新設定のハードルもかなり低くなっています。
完全無料で利用できる
上記でも説明しましたが、「Let’s Encrypt」は誰でも無料で利用できるようになっています。
もちろん、無料だからと言って、有料の独自SSLよりも機能面で劣っているわけではありません。
「データの暗号化」が目的になるので、無料でも有料でも大きな違いはないです。
Let’s Encryptのデメリット
Let’s Encryptのデメリットは、以下の3つです。
- 有効期限が90日と短い
- フィッシング詐欺の対策には不向き
- なりすまし詐欺の対策には不向き
上記でも説明したように、Let’s Encryptの有効期限は90日と短いです。
また、フィッシング詐欺やなりすまし詐欺の対策には利用できないのもデメリットです。
もし、これらの詐欺にも対応したい場合には、有料のSSL証明書を購入しましょう。
有料SSLが必要なWebサイト
以下のようなWebサイトでは、有料のSSL証明書の購入をおすすめします。
- 企業サイト・コーポレートサイト
- ECサイトなど決済システムを導入しているサイト
- 個人情報を取り扱うサイト
- 官公庁や自治体、教育機関などの高度なセキュリティを求められるサイト
最近は、本物の企業サイト・コーポレートサイトに似せたWebサイトを作成して、クレジットカード情報や会員サイトのID・パスワードを盗まれる被害も増えています。
そういったフィッシング詐欺に自社のWebサイトを利用されないために、企業サイトには「企業認証SSL(OV)」の利用がおすすめです。
「企業認証SSL(OV)」であれば、運営法人・団体の実在性までを証明してくれるので、非常に安心です。
また、決済システムを利用するECサイトや、個人情報などを扱うWebサイトでは、「EV認証SSL(EV)」の利用もおすすめです。
フィッシング詐欺の対策だけでなく、より安全性をアピールできるので、ユーザーも安心してWebサイトを閲覧することができます。
公的機関のWebサイトも同様ですね。
特に、こういった"無条件に信頼できると思われてしまうWebサイト"は、悪用されると大変です。
したがって、より高度なセキュリティを求められるSSL証明書の利用が必要となります。
決して、"WebサイトのSSL化 = 100%安全"という訳ではありません。
フィッシング詐欺などに利用されないためにも、状況によっては有料のSSL証明書の購入も検討しましょう。
もし、有料のSSL証明書を購入する場合には、エックスサーバーSSL(XServer SSL)もおすすめです。
他社サービスよりも比較的安い値段で購入できるので、一度チェックしてみてください。
まとめ
この記事では、Webサイト運営に欠かせない「SSL」の基礎知識やメリット、証明書の種類について解説しました。
今は、レンタルサーバーを使えばコントロールパネルから無料で簡単にSSLをインストールできる時代です。
設定自体は数クリックで終わるかもしれませんが、SSLの本来の役割や仕組みを理解しておくことは、安全なサイト運営において非常に重要です。
最後に、この記事の重要なポイントをもう一度まとめておきます。
- SSLの役割:通信データの暗号化だけでなく、SEO対策やユーザーの安心感向上にも繋がる
- 常時SSL化が必須:インストール後は、必ず「http」から「https」へのリダイレクト設定まで行う
- 証明書の種類:用途に合わせて「ドメイン認証(DV)」「企業認証(OV)」「EV認証(EV)」を使い分ける
- 無料と有料の違い:個人ブログなら無料のLet's Encryptで十分だが、企業サイトやECサイトは信頼性の高い有料SSLがおすすめ
個人サイトであっても、企業サイトであっても、Webサイトの安全性を高めることは訪問者を守ることに直結します。
ご自身のWebサイトの目的や取り扱う情報に合わせて最適なSSL証明書を選び、安全で信頼されるWebサイト運営を行っていきましょう!
