初心者でも5分で分かる!SSL/TLSとは何か?
2023.09.06
SSL/TLSは、ユーザーの個人情報を守るために欠かせないセキュリティ対策です。
とくにWebサイトを運営している企業にとっては、SEO対策の基本と言ってよいでしょう。
とはいえ、内容を熟知せずに取り敢えず導入しているWebサイトも多いようです。
そこで今回は、SSL/TLSの概要・重要性・暗号化の仕組み・導入の手順・費用相場などについて、初心者でも分かりやすく解説していきます。
SSL/TLSとは?イメージ図で解説
SSL(Secure Socket Layer)とは、インターネットを安全に使用するために行うセキュリティ対策の一種で、閲覧ユーザーが使用するブラウザ(PC)とサーバー間で送受信する通信データを「暗号化」する技術です。
現在では、SSLの脆弱性を改良したTLS(Transport Layer Security)の方が望ましいとされていますが、便宜上TLSも含めてSSLという呼称が使われています。
例えば、下記のように個人情報をランダムな文字列に暗号化することで、第三者に悪用されるリスクを防止することができるのです。
|
SSL導入前 |
SLL導入後 |
| 氏名 |
佐藤 |
jpc2sgi8sie6 |
| 住所 |
東京都 |
afk4w7ls1zk |
| クレジットカード番号 |
1111 2222 3333 4444 |
goe1 di85 6sgh 3s2p |
一般ユーザーがサービスの提供者、つまりWebサイトの運営者が誰なのか確認できる「SSL証明書」の存在も、インターネットの安全性を後押ししています。
なぜSSL化は重要なのか?
そもそも、なぜSSL化はWebサイト運営にとって重要だと言われているのでしょうか?
その理由は、SSLの導入はユーザーとサイト運営者の双方にとって、下記のようなリスクを軽減できる効果が実証されているからです。
▼SSL化で軽減できるリスク(ユーザー側)
- データの盗聴:氏名、住所、決済情報、Cookieなど機密性の高い個人情報が漏えいする
- データの改ざん:注文内容などが書き変えられる
- なりすまし:サイト運営者を装ってログイン情報などを盗み、不正取引などの詐欺行為に悪用される
▼SSL化で軽減できるリスク(運営者側)
- 「危険なサイト」と認知され、お客様からクレームが殺到する
- 企業の信頼性が失われ、顧客離れや売上減少につながる
- 拡散された悪評が、いつまでもネット上に残ってしまう
SSLのSEO効果
結論から言うと、SSL/TLSはSEOにとっての必須要素です。
事実、Googleは2014年以降SSL/TLSの実装を、検索ランキングの評価基準の1つにするとアナウンスしています。
さらに、E-E-A-Tで最も重要なTrust(信頼性)の評価基準になっているのです。
暗号化の仕組みとは?
ここからは、暗号化への理解が深まるよう、下記の2項目に分けて解説していきます。
- 共通鍵/公開鍵/秘密鍵とは?
- SSL暗号化のプロセス
共通鍵/公開鍵/秘密鍵とは?
SSL/TLSでは、暗号化および復号(暗号化されたデータを平文に戻す)を行う際、必ず「共通鍵暗号方式」と「公開鍵暗号方式」をセットで用いる仕組みになっています。
- 共通鍵暗号方式:同一の「共通鍵」だけで、暗号化も復号も可能
- 公開鍵暗号方式:暗号化には「公開鍵」が、復号には「秘密鍵」が必要
たとえ暗号化プロセスの途中でデータが盗聴されたとしても、「秘密鍵」を持っていない第三者が解読できないよう、2種類の暗号方式を併用してセキュリティを強化しているのです。
この点を踏まえて、次の章ではSSL暗号化のプロセスについて解説していきます。
SSL暗号化のプロセス
SSL暗号化のプロセスは下記の通りです。
閲覧しているWebサイトがSSLに対応しているかどうかは、URLの冒頭で見分けることができます。
- SSL実装前→http://
- SSL実装後→https://
アドレスバーに「錠マーク」が表示されるのも、SSL対応サイトである証です。
SSLを導入する手順
SSL/TLSを自サイトに導入する流れは、下記の通りです。
- SSLの選択:利用目的や予算に応じて選ぶ
- 事前準備:CSR(申請書)や印鑑証明など、SSLの種類に応じて必要なモノを用意する
- SSLサーバー証明書の申し込み:契約しているレンタルサーバーの管理画面から申し込む
- 審査・認証・証明書の発行:認証局の審査を経て、メールや郵便などで受け取る
- SSLサーバー証明書のインストール:ダウンロードした証明書を、サーバーにインストールする
- リダイレクト設定:httpにアクセスしてきたユーザーをhttpsページに誘導する
- 内部リンクや画像の修正:非表示にならないよう、httpからhttpsに変更する
- 動作確認:httpsのURLでサイトが表示されるか確認する
とくに6番と7番は忘れがちなので、注意が必要です。
SSLの種類と費用相場
SSL証明書は、ルート証明書・中間証明書・サーバー証明書の3階層以上で構成されています。
ルート証明書は最初からPCや携帯端末などに格納されているため、費用は発生しません。
一方、中間証明書とサーバー証明書は通常セット料金になっており、いわゆるSSLの費用とは中間証明書を含めた「サーバー証明書」の代金を指しています。
ここでは、Webサイトの全ページを「http」から「https」へ移行する常時SSL化(独自SSL化)が可能な3つのサーバー証明書、つまりドメイン認証(DV:Domain Validation)、企業実在認証(OV:Organization Validated)、EV認証(Extended Validation)について比較してみました。
それぞれ特徴・費用相場が違いますので、使用する目的や予算に合わせて選びましょう。
|
ドメイン認証(DV) |
企業実在認証(OV) |
EV認証 |
認証レベル
(安全性) |
低 |
中 |
高 |
費用相場
(年間) |
数千円~ |
50,000円~ |
110,000円~ |
認証に必要な
確認項目 |
・ドメイン名使用権 |
・ドメイン名使用権
・組織の法的実在 |
・ドメイン名使用権
・組織の法的実在
・組織の物理的実在
・組織の運営
・承認者、署名者 |
| 特徴 |
・低価格
・スピード発行 |
・証明書情報に、運営組織や住所を表示できる
・発行まで1~3日ほどかかる |
・世界標準の認証ガイドラインがある
・審査が最も厳格
・発行まで1週間ほどかかる |
| 主な利用者 |
・個人のブログ
・メンバー限定の組織内サイト
など、顧客情報を扱わないサイト |
・企業のコーポレートサイト
・SNSや会員制サイト
・政府や自治体
など、お問い合わせや資料請求といった個人情報を収集するページがあるサイト |
・大企業
・ネット銀行
・ネット証券
・ネット保険
・オンラインショップ
など、盗聴されると深刻なトラブルに発展する情報を扱うサイト |
こんな人に
おすすめ |
・できるだけ費用をかけたくない人
・素早く導入したい人 |
・クレジットカードなど、秘匿性の高い情報を扱いたい人
・証明書に、企業名や住所を表示させたい人 |
・最高クラスのセキュリティを提供したい人 |
SSLサーバー証明書の注意点と対処法
ここからは、SSLサーバー証明書にありがちなトラブルと対処法について解説していきます。
- 証明書の有効期限切れ
- 証明書のドメイン名不一致
- 中間証明書の設定漏れ
証明書の有効期限切れ
SSLサーバー証明書には、必ず「有効期限」が定められており、サイト運営者の「実在性」を担保するという観点から、10年ほどかけて短縮されてきました。
以前は5年や2年の有効期限が主流でしたが、2020年9月以降に発行されたSSLサーバー証明書の有効期限は、最長で約13ヵ月(397日)まで短縮されています。
有効期限がオーバーしてしまうと、「プライバシーが保護されません」や「安全ではありません」などのエラーメッセージが表示され、サイトが閲覧できなくなってしまうので注意が必要です。
有効期限切れを防ぐためにも、自動更新に対応しているSSLサーバー証明書を検討してみましょう。
証明書のドメイン名不一致
SSLを申し込む際、CSR(申請書)に入力するドメイン名が間違っていると、「セキュリティ証明書の名前はサイト名と一致しません」といった主旨のメッセージが表示されてしまいます。
SSLを間違ったコモンネーム(サブドメインまでを含めた正しいドメイン名)で申し込んでしまった場合は、速やかに再申請を行いましょう。
再申請が認められている期間は、レンタルサーバーなど認証局ごとに定められています。
中間証明書の設定漏れ
SSL証明書の階層構造は下記のようなツリー状になっており、上位の証明書が次の証明書に署名することで「信頼の連鎖」がチェーンで繋がる仕組みになっています。
1 ルート証明書(ブラウザやスマホなどに最初から搭載されている)
└2 中間証明書(別名、中間CA証明書)
└3 サーバー証明書(DV認証・OV認証・EV認証)
したがって、中間証明書がなければ下記のようなリスクが発生してしまいます。
- ルート証明書が失効すると、「信頼の連鎖」が崩れてすべての証明書が無効になってしまう
- サーバー証明書のオンライン検証時に、ルート証明書の漏えいリスクが高まる
つまり、ルート証明書とサーバー証明書の2階層ではなく、あえて中間証明書を含めた3階層にすることで、セキュリティを強化しているのです。
通常、中間証明書はサーバー証明書の発行完了メールにて、ダウンロードするよう記載されていますが、見逃している人も少なくありません。
サーバー証明書だけでなく、中間証明書の設定も忘れずに済ませておきましょう。
SSLの今後!より安全なウェブ環境への取り組み
Googleの調査結果によると、HTTPS化(SSL化)は2023年8月6日時点で全体の95%に達しています。
さらに日本のHTTPS化は96%にものぼり、世界5位という結果でした。
出展:Google透明性レポート ウェブ上での HTTPS 暗号化
たしかにSSLによってすべての通信を100%秘匿できるわけではありませんが、今後もSEOの基本対策として導入されていくでしょう。
まとめ
インターネット上で公開されている全Webサイトの95%が導入していることからも、SSL/TLSがSEOにとって有効なのは明らかです。
これだけフィッシング詐欺などのネット犯罪が横行しているのですから、ユーザーの個人情報が盗聴されないように守るのは、サイト運営者が果たすべき責務と言えます。
今後、暗号化に対応していないWebサイトはユーザーからもGoogleからも「信頼に値しない!」とみなされ、検索結果で上位表示は望めないでしょう。
関連
Webサイト制作Web開発
Webサイト制作Webデザイン
