コロナ以降、自宅に居る時間が多くなりWebサイトなどを利用する機会が増えてきましたね。Webページを安全に利用するときに欠かせない「SSL」の需要はさらに高まってきています。SSLのふわっとした概要は知っていますが、本当にセキュリティ的に安全なのか調べてみました。
目次
SSLとは?
SSL(Secure Sockets Layer)とは、ネット上で重要なクレジットカード情報や個人情報などの文章と数字データを暗号化し、サーバーを通して暗号化したデータをWebサーバーとWebブラウザ間で送受信する仕組みです。
暗号化の種類として「共通鍵暗号化方式」と「公開鍵暗号化方式」、そして、共通鍵暗号化方式と公開鍵暗号化方式を組み合わせて使用する「ハイブリッド暗号方式」の3つがあります。更に「公開鍵暗号化方式」は、「公開鍵」と「秘密鍵」の2種類の鍵(Key)を使用する方式です。また、SSLはWebサイトだけではなく、MySQLなどのデータベースにも使われています。
SSLの古い規格では脆弱性が見つかっており。SSLの次世代規格として「TSL(Transport Layer Security)」という規格があります。TSLと合わせて「SSL/TSL」と表記したりしますが、一般にSSLのみで表すことも多いです。本記でもSSLで表していきます。
最新情報をいち早くお届け!
無料会員登録していただくと、
会員限定の特別コンテンツ記事を最後まで
読むことができます!
その他、更新情報・イベント情報を
お届けいたします。
ネットのセキュリティ状態には3つ種類がある
今見ているサイトがSSL通信になっているかわからない!という方も多いと思います。見分け方は簡単!ChromeなどのブラウザでURLが書いてあるアドレスバーを確認してください。「http://」が「https://」になっているかがポイントです。
普段利用しているサイトのこのURLでセキュリティがどんな状態なのかを書きたいと思います。
SSL無し
SSLされていないサイトは、サイトのURLの始まりが「http://」から始まっています。また、サイトのURLの横の記号が「i」になっているのがSSL化されていないサイトです。
セキュリティが弱い状態なので攻撃から守ることができません。これでは安心してWebページを閲覧できないですね。SSL無しの場合、大きく3つの攻撃を受けるリスクがあります。
- なりすまし:Webの運営者になりすましてクレジットカード情報などを抜き取る。フィッシング詐欺もなりすましにあたります。
- 改ざん:注文個数や金額の数字を書き換えられたりして大きな被害になります。
- 盗聴:通信を傍受して個人情報を盗み見られ、犯罪に巻き込まれる恐れがあります。
以上のおそろしい攻撃からSSLを使って通信を暗号化して守りたいですね!
一部SSL
サイトのTOPページや他のページはSSL化されていないけれども、お問い合わせページなどの個人情報を入力・送信するページのみSSL化されている状態が一部SSLです。
サイトの一部でもSSL化されているのならば、セキュリティ的に問題はないと思ってしまいますが、例えば、お問い合わせの個人データ入力のページが「http://」のページで、データを送信するページ(確認ページ)が「https://」であると送信時に個人情報が抜き取られてしまったり、個人情報を書き換えられてしまったりする危険性があります。ですので、できることならば、サイト全体にSSLをかけてセキュリティ対策をしたいですね。
常時SSL
サイト全体にSSLをかけている状態が常時SSLです。サイトのURLが「https://」から始まっており、サイトのURLの横に緑色の鍵マークがついています。
お問い合わせなどのページで個人情報などを入力・送信しても暗号化されるので、個人情報の抜き取りや書き換えができなくなります。ただし100%安心というわけではなく、正しく導入できればサイトの安全性は高まります。
SSLのメリットデメリット
サイトのセキュリティが向上するだけがSSLのメリットではありません。またデメリットも少なからずあります。
セキュリティの向上
ネットショップで、クレジットカードなど個人情報が勝手に抜き取られてしまう危険性があると、ユーザーはそのサイトで買い物をすることを控えてしまうかもしれません。前述にもありますが、サイトをSSL化することでサイトのデータの送受信が暗号化されますので、安心してサイトのサービスを利用することができます。
信頼性の向上
サイトにSSLをかける際、第三者機関のSSL認証局からSSLサーバー証明書(PEMファイルなど)というものを発行してくれます。発行してもらった証明書はブラウザで確認することができるので、ユーザーからは安心して利用できるサイトだと認められ信頼性が上がります。
SEOの向上
Googleは、SSL化しているサイトをGoogleの検索順位で優遇するということが2014年8月に公式で発表しています。更にGoogleのChromeが2018年以降SSLなし(http://)のサイトに警告を出すなど、常時SSL化を推奨している流れです。
今後SEOの順位を上げるためにサイトのSSL化をする企業も多くなっていくのではないでしょうか。
デメリットはコストとサーバー設定
レンタルserverを提供されているNTTさんやGMOさんのSSL証明書発行の料金を見ましたが、思った以上に金額が高くて驚きました。基本的にSSL証明書の有効期限は1年であるため、更新をするたびにSSL証明書発行の料金がかかります。SSL化をするのにためらう理由として、SSL証明書発行の料金が一番大きいかもしれません。
以前使用したさくらサーバーのSSLは認証レベル(ドメイン認証・企業認証・EV認証)で金額が変わります。ドメイン認証でしたらお手頃な料金ですので、SSL証明書発行の料金でSSL化をためらっている方は一度見てみてください。
また、サーバーのインストール設定が複雑なところもデメリットに挙げてもいいのではないでしょうか。サーバー管理者(Root)権限を有するサーバーへインストールする際は更に複雑になり、ApacheやNginxの設定手順にしたがって設定していく必要があります。
まとめ
SSL化はセキュリティの向上につながっているため、簡単にできる作業ではありません。SSLの証明書を発行するには、時間もお金もかかります。
サイトのSSL化で、ユーザーが安心・信頼して利用できるサイトが作れるので、SSL化をまだしていない企業はSSL化を考えてみてはいかがでしょうか。
- 最新記事