SSLって何?どうしてホームページを常時SSL化しないとやばいの?

ホームページを作成しているとよく聞く「SSL」。Webサイトの安全のための何かということは分かっていても、詳しいことは分からない、という人も多いのではないでしょうか?この記事では、初心者にも分かりやすく「SSL」について説明します!

SSLって何?

SSL(Secure Sockets Layer)とは、安全にWebページを利用するために、インターネット上でデータを暗号化して送受信する仕組みです。

ホームページを表示した状態で、ブラウザのアドレスバー(URLが表示されるところ)を確認すると、SSLに対応しているサイトには鍵マークがでてきます。

一方、SSLに対応していないサイトは、警告マークと共に、ブラウザによって「保護されていない通信」などのメッセージが表示されます。

また、SSLに対応していないサイトはURLが「http」ではじまり、SSLに対応しているサイトは「https」となります。

※現在はSSLを元に発展したTSL(Transport Layer Security)が多く利用されますが、「SSL」という言葉の方が広く認識されているため、TSLも含めてSSLと呼ぶことが通例となっています。

Webページは、想像以上に情報漏えいやサイトの改ざん、なりすましなどの危機にさらされています。もし、悪意の第三者によって通信を傍受された場合でも、SSLで通信を暗号化していれば、セキュリティが高まり、深刻な自体を回避することができます。

常時SSLって何?

常時SSLとは、Webページのすべてのページの通信を暗号化(SSL化)することです。

以前は、Webページの中でも特に安全性が重要なサイト、もしくは一部のページのみSSL化すれば十分と言われていました。例えば、クレジットカード決済を扱うようなショッピングサイトや予約サイト、銀行などのサイトは特に安全性が求められるため、以前からSSLが導入されています。

それ以外の通常のサイトでは、氏名や住所、電話番号などの個人情報を扱うお問い合わせフォームや、ログイン情報など、大事なデータを入力する部分のみSSL化を行うのが一般的で、フォームのないサイトではSSL化は不要と言われていました。

問題は、通常サイトを閲覧している時でも、ブラウザにはログインIDやパスワードなどを保存するCookie(クッキー)という仕組みが働いているので、個人情報の入力時のみSSL化するだけでは、他のページを閲覧している際にCookieをのぞき見られる可能性があるのです。

さらに最近は、スマートフォンなどの普及によって、カフェや空港・駅のような公共の場所で無料Wi-Fiを利用することがかなり多くなりまmした。ユーザーは気軽にインターネットを利用できますが、閲覧しているページを傍受して盗み見られる危険性も高まり、より安全性、信頼性の高いサイトが必要になってきました。

このような背景から 、現在では、入力フォームがないWebページでも常時SSLで通信することが推奨されています。

さらに、検索エンジンサイトのGoogleも、2014年に常時SSLサイトの検索順位を優遇すると発表しました。これにより、常時SSL対応はSEO対策にも影響を与えることになりました。

GoogleのブラウザであるChromeでは、2018年7月のアップデートでSSL対応していないページにはブラウザのアドレスバーに「保護されていない通信」と警告メッセージが表示されるようになっています。

この警告が表示される通常サイトでは、訪問したユーザーに信頼性の低い印象を与えているかもしれません。常時SSL化の流れは今後さらに加速する一方となりますので、入力フォームのないサイトでも今すぐSSLを導入しましょう!

SSLの認証レベル

SSLには暗号化通信の他に、もう一つ「Webサイトの所有者の証明」という重要な役割があります。

SSL対応するには認証局から「SSLサーバ証明書」を発行してもらう必要がありますが、SSLサーバ証明書はサイト所有者がどれくらい信頼できるのかによって、以下の3段階に分かれています。

  • EV SSL
  • OV SSL(企業実在証明)
  • DV SSL(ドメイン認証)

アドレスバーの鍵マークをクリックすると、「証明書」を確認することができます。

EV SSL・OV SSL(企業実在証明)

「OV SSL」は、サイト所有者が実在しているかどうかを確認してから、証明書を発行します。そのため、企業の登記簿謄本などの書類の送付が義務付けられます。

「EV SSL」は、「OV SSL」よりさらに組織情報の審査が厳格となり、企業・団体の所在地や運営などを書類によって確認する最高レベルのSSLサーバー証明書となります。

アドレスバーから「証明書」を表示すると、企業情報を確認することができます。

企業実在証明を行う一番のメリットは「なりすまし」対策です。

なりすましとは、サイトの運営者になりすまして取得されたクレジットカードなどの個人情報を悪用されることを指します。EV SSL・OV SSLを取得すると、なりすましが発生した場合、他の第三者がおこなったものだと否認することができるようになります。

DV SSL(ドメイン認証)

「DV SSL」は、認証局はドメイン所有者が本当に実在するかどうかの確認は行いませんので、サイトの信頼性は他の証明よりも低くなりますが、安価で簡単な手続きで証明書を発行できるのが魅力です。認証度は低くなりますが、暗号化の強度は変わりません。フォームでの個人情報入力を含まないWebサイトで、SEO対策のためにSSLを導入する場合は「DV SSL」でも十分でしょう。

ただし、企業実在証明SSLのようにサイト所有者の実在証明はできないため、リスクを考慮した上で選択しましょう。

無料のSSL証明書ってどうなの?

SSL対応は料金が高く、個人では導入が難しいという問題がありました。そこで、2016年に、SSLをもっと普及しようという目的でLet’s Encrypt(レッツ・エンクリプト)という無料のDV SSL(ドメイン認証)ができました。

Let’s Encryptは、独自ドメインを持っていれば誰でも利用することができ、申請から発行まで自動で行うことができるので、現在では多くのレンタルサーバーで無料SSLが提供されるようになりました。

無料でも暗号化の強度は変わらず、Googleの検索順位にも影響しません。個人サイトなど小規模サイトで利用するには問題ないでしょう。

SSLサーバー証明書を失効したり、なんらかのトラブルに見舞われたりした場合、サイトが閲覧できなくなってしまうため、認証局には信頼性が重要です。無料SSLと有料SSLの違いは、認証局のサポートが受けられるかどうかとなります。

無料の場合、なりすましとして狙われる可能性も少なくはありません。有料SSLでは、不正の疑いがあれば追加審査などの付加サービスを行なっていたり、認証局側の過失では損害補償をする場合もあるので、無償SSLを利用する場合はデメリットも理解した上で選択しましょう。

株式会社コミュニティコムが運営する教育部門「Chiemo(チエモ)」では、WordPress(ワードプレス)でホームページやブログを作り始めたけれど、「ここがわからない!」といったお悩みに対して、プロのデザイナーがマンツーマンでレッスンを行っています。

>> ホームページ制作&WordPressなんでも相談会