デジタル工房

ホームページのSSL化

ほとんどの企業が導入しているSSL(常時SSL/TLS化でセキュリティー対策)について、できるだけ簡単に解説します。

SSLって何?

SSL(Secure Socket Layer)は、個人が使っているパソコンやスマートフォンなどのブラウザと、ホームページのデータを公開しているサーバとのやりとりを暗号化します。

SSL化することで、もし誰かが通信を傍受して個人情報などを抜き取ろうとしても、データは暗号化されているので内容を読み取ることはできません。

このように、SSLによってセキュリティー対策をすることで、盗聴や、なりすまし、改ざんを防止することができると言われています。

※SSLは進化して、現在はTSL(Transport Layer Security)になりました。
 SSL/TSLのように併記することもありますが、ここでは現在も広く使われている「SSL」と呼称しています。
※SSL、TSL、SSL/TSL、常時SSL、全面SSL、SSL化、常時SSL化、HTTPS化。ややこしいですがほとんど同じ意味です。

https

SSL化されたホームページのアドレスには、先頭に「https」が付きます。
これは従来の「http」に、セキュリティーを意味する「s」が付いたものです。

SSL化のメリット

セキュリティー対策として

SSL化されたホームページを表示すると、ブラウザ上部に表示されているアドレスの先頭に、鍵のマークが付きます。
ユーザー(お客様)は、この鍵のマークによって

を確認することができます。あまり知られていませんが、鍵マークをクリックすることでSSLの証明書が表示され、そこに記載されている発信者のドメインや会社名を確認することができます。

逆に、SSL化されていないホームページには、次のような警告が表示されます。

せっかくホームページにアクセスしてもらっても、このような警告が表示されれば、離れてしまうユーザーもいると思われます。

検索エンジン対策(SEOとして)

Googleは、ホームページのセキュリティーを重視しており、SSL化を推奨しています。
そのため、GoogleやYahoo!Japanでキーワード検索した際、SSL化されたホームページは上位に表示され、SSL化されていないホームページは下位に表示されてしまいます。

SSL証明書

SSL化されたホームページには、証明書が付きます(鍵のマークをクリックすることで表示されます)。
証明書は、信頼のある第三者機関が発行するもので、内容によって次のような種類があります。

DV
証明書にドメイン名を表示することができます。
安価で、導入も簡単です。
OV
証明書に企業名(英語)を表示することができます。ドメイン名ももちろん表示されます。
実在しているか確認するため、取得申請者に電話がかかってきます。
EV
アドレスバーに企業名と鍵マークが表示されます。
企業の実在や、活動実態を確認した上で発行される、もっとも厳格な証明書です。

さらに、無料で証明書を発行できるものもあります。

Let’s Encrypt
誰もが簡単に取得できる証明書です。
有償の証明書に比べて信頼感は劣りますが、実質的な機能は有償のものと変わりません。

デメリット

SSLは、比較的最近になって一般化した技術ですので、古いブラウザ(古いAndroid端末など)には対応していません。古いブラウザでは暗号化された情報の解読ができないので、ホームページが表示されなくなってしまいます。

また、SSLの証明書をインストールするためには、ホームページを公開しているサーバがSSL証明書のインストールに対応していなければなりません。古いレンタルサーバをお使いいただいている場合に、これを解消するのが意外に難しい場合があります。

SSL証明書の有効期限

SSL証明書には有効期限があり、定期的な更新が必要になります。通常は1年か2年ごと、特殊な場合には3ヶ月ごとに更新するものもあります。

特殊な場合を除いて、更新には費用がかかります。このように、維持費用がプラスされるのも、SSL化のデメリットかもしれません。

SSL導入の流れ

  1. SSL証明書をお申し込み
  2. 証明書をサーバにインストール
  3. ホームページの修正、設定変更等

費用としては、通常、SSL化の際に「証明書取得のための費用」「サーバにかかる費用」「ホームページを修正するための費用」がかかります。
さらに維持費として「証明書の更新費用」がかかります。

SSL化にかかる費用について、詳しくは、後日、目安になるものをまとめる予定ですので、もう少しお待ちください。

※SSL証明書は1ドメインにのみ有効です。サブドメインにも使用する場合はワイルドカード付きのSSL証明書が必要です。

※SSL化したあと、http:// にアクセスしたユーザーが、htpps:// に自動的に移動できるような設定が必要になります。

※SSLは、かなり複雑な方法を使って、通信間の暗号化や、なりすまし、改ざんを防止しています。

文書を暗号化し、解読するにはペアになった鍵のようなものを使います。また通信途中でデータが改ざんされていないか、内容を比較してチェックしています。さらに、信頼できる第三者(CA局)を置いて、電子署名や電子証明書をやりとりします。
ただしそれは、あくまでも「通信間」の暗号化、なりすまし、改ざんを防止するということであって、サーバに直接侵入されて内容を書き換えられたり、ウイルスのようなものを仕込まれたりすることを防止できるわけではありません(こちらのほうが比較的簡単に行える場合があります)。
また、証明書にドメイン名や企業名が表示されたからといって、その企業が詐欺的行為を行わないとは限りません。
つまりSSLによって、改ざんや、なりすまし等の詐欺行為を防げるわけではありません。SSLとは、誰もが読めたり、簡単に書き換えたりできるような文書を、通信でやりとりするのはやめようよ、という段階のセキュリティーだと私たちは考えています。

戻る