突然ですが、皆様のサイトは常時SSL(TLS)化されていますか?
今回は最近よく耳にする、SSL(TLS)について簡単に解説しようと思います。
SSL(TSL)とは?
SSL(Secure Sockets Layer)とTLS(Transport Layer Security)は、インターネット上でデータを暗号化して送受信する仕組み(プロトコル)です。
個人情報やクレジットカード情報などの重要なデータを暗号化して、サーバ~PC間での通信を安全に行なうことができます。厳密にいうと違いますが、仕組みとしてはSSLとTLSは同じようなものと思っていただいて結構です。
以前、SSL化はお問い合わせなどの個人情報の通信の時のみに利用されていましたが、現在は常時SSLという、すべてのページをSSL通信で行うことが推奨されています。
SSLの目的
ウェブサイトをSSL化することで、通信を暗号化することで、盗聴を防止するだけでなく、様々な効果があります。
データの盗聴防止
インターネットでは、サーバーと端末の通信を取得することができる仕組みになっています。この仕組みを利用すると、ECサイトなどを盗聴し、クレジットカード番号などを入手できたりなどがあげられます。
データの改ざん防止
通信を膨張し、ECサイトで注文数を不正に書き換えたり、ウェブサイトのコンテンツを書き換える改ざん行為を防止します。
なりすまし防止
なりすましは別名「フィッシング詐欺」と呼ばれている行為を指します。架空のECサイトを築き、金銭や個人情報などを不正に取得するなりすまし行為を防止します。
SSLの種類
ここからはSSLの種類を紹介します。大きく分けると、認証レベルの違いと、価格の違いがあります。
3種類の認証の違い
ドメイン認証、企業認証、EV認証の3種類が主流となっています。認証レベルが上がると認証書の記載内容がより詳細になります。費用も認証レベルに応じて高くなります。
認証の種類 | ドメイン認証 | 企業認証 | EV認証 |
特徴 | 証明書の発行までの期間が短く、安価に行える。ドメイン名が正しいかを認証します。個人ブログなどはこちらでも十分だと思います。 | 企業などの法人であれば企業認証をおすすめします。ドメイン名に加えて、企業の実在も証明する必要があります。なりすましを防ぐことができます。 | 最も厳密な審査を必要とする認証です。対象は主に金融機関や、サーバー会社などです。アドレスバーに組織の情報が掲載されます。 |
認証レベル | 低 | 中 | 高 |
価格 | 低 | 中 | 高 |
EV認証では表示がこのようになります。
大手の銀行やサーバー会社などはEV認証を導入している印象です。EV認証では偽サイトへ誘導し、料金を請求するフィッシング詐欺の対策にも有効といえます。
一般的な視点で見ると、EV認証のほうがドメイン認証よりセキュリティレベルが高いと思われがちですが、SSLはそうではありません。実際に行われている暗号化は、ドメイン認証もEV認証も同等です。
有料のSSLと無料のSSL
サーバー会社によっては無料のSSLを設定することができます。
では有料のものと、無料のもの、何が違うのでしょうか。
実は、SSL通信で行っている暗号化は全く同じものとなります。これらの差は認証レベルの差です。
例えば、企業認証SSLの証明書発行のためには、サイトを運営している組織の実在を確認しなければ証明書の発行ができません。
無料のSSLではすべての作業を自動で行うため、人を介した照会作業があるわけではなく、サポートなどを受けられません。つまり、誰でも作れてしまうため、なりすましやフィッシング詐欺などの可能性を軽減することはできません。
SSL化のメリット
ここからは、なぜSSLにする必要があるのか、それぞれの視点から解説していきます。
セキュリティの強化
通信を暗号化することで、お問い合わせやECサイトで入力する個人情報の盗聴を防げるほか、ウェブコンテンツのログイン情報を盗聴されることによるサイト改ざんなどを防ぐことが可能となります。
信頼性の向上
主要ブラウザでは、SSL化されていないデータを入力するページに対して、「この通信は安全ではありません」という警告を表示する措置をとっています。通常のページであっても、「この通信は保護されていません」とアドレスバーに表示するようになっています。
Googleではパスワードやクレジットカード情報を送信するHTTP接続(非SSL/TLS)ページに対し、アドレスバーの左に「保護されていない通信」と表示する仕組みを導入しました。
その後の2018年7月以降、すべてのHTTP接続ページで警告を表示しています。
MicrosoftEdgeではこのような表示になります。
SEO効果の向上
GoogleはウェブサイトがHTTPS(常時SSL)かどうかを検索順位の決定要因にすることを発表し、すべてのウェブサイトに対してHTTPからHTTPSへの切り替えを推奨しています。 また2015年12月には、常時SSL化されたウェブサイトでHTTPページとHTTPSページが同じコンテンツであれば、HTTPSページを優先的にインデックスするというアナウンスを行いました。
最後に
ここまで、ウェブサイトのSSLについて解説してきました。しかし、一番大切なことは、ウェブサイトの特徴に合ったSSLを導入することです。
例えば、個人のブログサイトを月額料金が高額なEV認証にした場合、費用負担が甚大になってしまいますよね。そのような場合には無料SSLも有効だと思います。
一方、クレジット機能が必要なECサイトで無料のSSLを使用し、ウェブサイトをフィッシング詐欺に使われてしまう…ということが起こった場合、信頼性という大きな土台を失うこととなります。
ECサイトや企業サイトは信頼性が大切です。SNSが発達している今の社会で、「Aサイトで服を買ったら詐欺にあった…」という事態に陥った場合、すぐに拡散され、各種認証費用をはるかに凌ぐほどの甚大な被害となってしまいます。
そうならないよう、ウェブサイトの常時SSL化をおすすめします。