最新コラム
-
-
-
-
-
Webサイト制作Web開発
【shopify】テーマをカスタマイズするためのLiquidの書き方
-
Webサイト制作Webデザイン
Webデザインの初心者必見!Webデザインの勉強方法を徹底解説
SSL/TLSは、ユーザーの個人情報を守るために欠かせないセキュリティ対策です。
とくにWebサイトを運営している企業にとっては、SEO対策の基本と言ってよいでしょう。
とはいえ、内容を熟知せずに取り敢えず導入しているWebサイトも多いようです。
そこで今回は、SSL/TLSの概要・重要性・暗号化の仕組み・導入の手順・費用相場などについて、初心者でも分かりやすく解説していきます。
目次
SSL(Secure Socket Layer)とは、インターネットを安全に使用するために行うセキュリティ対策の一種で、閲覧ユーザーが使用するブラウザ(PC)とサーバー間で送受信する通信データを「暗号化」する技術です。
現在では、SSLの脆弱性を改良したTLS(Transport Layer Security)の方が望ましいとされていますが、便宜上TLSも含めてSSLという呼称が使われています。
例えば、下記のように個人情報をランダムな文字列に暗号化することで、第三者に悪用されるリスクを防止することができるのです。
SSL導入前 | SLL導入後 | |
---|---|---|
氏名 | 佐藤 | jpc2sgi8sie6 |
住所 | 東京都 | afk4w7ls1zk |
クレジットカード番号 | 1111 2222 3333 4444 | goe1 di85 6sgh 3s2p |
一般ユーザーがサービスの提供者、つまりWebサイトの運営者が誰なのか確認できる「SSL証明書」の存在も、インターネットの安全性を後押ししています。
そもそも、なぜSSL化はWebサイト運営にとって重要だと言われているのでしょうか?
その理由は、SSLの導入はユーザーとサイト運営者の双方にとって、下記のようなリスクを軽減できる効果が実証されているからです。
▼SSL化で軽減できるリスク(ユーザー側)
▼SSL化で軽減できるリスク(運営者側)
結論から言うと、SSL/TLSはSEOにとっての必須要素です。
事実、Googleは2014年以降SSL/TLSの実装を、検索ランキングの評価基準の1つにするとアナウンスしています。
さらに、E-E-A-Tで最も重要なTrust(信頼性)の評価基準になっているのです。
ここからは、暗号化への理解が深まるよう、下記の2項目に分けて解説していきます。
SSL/TLSでは、暗号化および復号(暗号化されたデータを平文に戻す)を行う際、必ず「共通鍵暗号方式」と「公開鍵暗号方式」をセットで用いる仕組みになっています。
たとえ暗号化プロセスの途中でデータが盗聴されたとしても、「秘密鍵」を持っていない第三者が解読できないよう、2種類の暗号方式を併用してセキュリティを強化しているのです。
この点を踏まえて、次の章ではSSL暗号化のプロセスについて解説していきます。
SSL暗号化のプロセスは下記の通りです。
閲覧しているWebサイトがSSLに対応しているかどうかは、URLの冒頭で見分けることができます。
アドレスバーに「錠マーク」が表示されるのも、SSL対応サイトである証です。
SSL/TLSを自サイトに導入する流れは、下記の通りです。
とくに6番と7番は忘れがちなので、注意が必要です。
SSL証明書は、ルート証明書・中間証明書・サーバー証明書の3階層以上で構成されています。
ルート証明書は最初からPCや携帯端末などに格納されているため、費用は発生しません。
一方、中間証明書とサーバー証明書は通常セット料金になっており、いわゆるSSLの費用とは中間証明書を含めた「サーバー証明書」の代金を指しています。
ここでは、Webサイトの全ページを「http」から「https」へ移行する常時SSL化(独自SSL化)が可能な3つのサーバー証明書、つまりドメイン認証(DV:Domain Validation)、企業実在認証(OV:Organization Validated)、EV認証(Extended Validation)について比較してみました。
それぞれ特徴・費用相場が違いますので、使用する目的や予算に合わせて選びましょう。
ドメイン認証(DV) | 企業実在認証(OV) | EV認証 | |
---|---|---|---|
認証レベル (安全性) |
低 | 中 | 高 |
費用相場 (年間) |
数千円~ | 50,000円~ | 110,000円~ |
認証に必要な 確認項目 |
・ドメイン名使用権 | ・ドメイン名使用権 ・組織の法的実在 |
・ドメイン名使用権 ・組織の法的実在 ・組織の物理的実在 ・組織の運営 ・承認者、署名者 |
特徴 | ・低価格 ・スピード発行 |
・証明書情報に、運営組織や住所を表示できる ・発行まで1~3日ほどかかる |
・世界標準の認証ガイドラインがある ・審査が最も厳格 ・発行まで1週間ほどかかる |
主な利用者 | ・個人のブログ ・メンバー限定の組織内サイト など、顧客情報を扱わないサイト |
・企業のコーポレートサイト ・SNSや会員制サイト ・政府や自治体 など、お問い合わせや資料請求といった個人情報を収集するページがあるサイト |
・大企業 ・ネット銀行 ・ネット証券 ・ネット保険 ・オンラインショップ など、盗聴されると深刻なトラブルに発展する情報を扱うサイト |
こんな人に おすすめ |
・できるだけ費用をかけたくない人 ・素早く導入したい人 |
・クレジットカードなど、秘匿性の高い情報を扱いたい人 ・証明書に、企業名や住所を表示させたい人 |
・最高クラスのセキュリティを提供したい人 |
ここからは、SSLサーバー証明書にありがちなトラブルと対処法について解説していきます。
SSLサーバー証明書には、必ず「有効期限」が定められており、サイト運営者の「実在性」を担保するという観点から、10年ほどかけて短縮されてきました。
以前は5年や2年の有効期限が主流でしたが、2020年9月以降に発行されたSSLサーバー証明書の有効期限は、最長で約13ヵ月(397日)まで短縮されています。
有効期限がオーバーしてしまうと、「プライバシーが保護されません」や「安全ではありません」などのエラーメッセージが表示され、サイトが閲覧できなくなってしまうので注意が必要です。
有効期限切れを防ぐためにも、自動更新に対応しているSSLサーバー証明書を検討してみましょう。
SSLを申し込む際、CSR(申請書)に入力するドメイン名が間違っていると、「セキュリティ証明書の名前はサイト名と一致しません」といった主旨のメッセージが表示されてしまいます。
SSLを間違ったコモンネーム(サブドメインまでを含めた正しいドメイン名)で申し込んでしまった場合は、速やかに再申請を行いましょう。
再申請が認められている期間は、レンタルサーバーなど認証局ごとに定められています。
SSL証明書の階層構造は下記のようなツリー状になっており、上位の証明書が次の証明書に署名することで「信頼の連鎖」がチェーンで繋がる仕組みになっています。
1 ルート証明書(ブラウザやスマホなどに最初から搭載されている)
└2 中間証明書(別名、中間CA証明書)
└3 サーバー証明書(DV認証・OV認証・EV認証)
したがって、中間証明書がなければ下記のようなリスクが発生してしまいます。
つまり、ルート証明書とサーバー証明書の2階層ではなく、あえて中間証明書を含めた3階層にすることで、セキュリティを強化しているのです。
通常、中間証明書はサーバー証明書の発行完了メールにて、ダウンロードするよう記載されていますが、見逃している人も少なくありません。
サーバー証明書だけでなく、中間証明書の設定も忘れずに済ませておきましょう。
Googleの調査結果によると、HTTPS化(SSL化)は2023年8月6日時点で全体の95%に達しています。
さらに日本のHTTPS化は96%にものぼり、世界5位という結果でした。
出展:Google透明性レポート ウェブ上での HTTPS 暗号化
たしかにSSLによってすべての通信を100%秘匿できるわけではありませんが、今後もSEOの基本対策として導入されていくでしょう。
インターネット上で公開されている全Webサイトの95%が導入していることからも、SSL/TLSがSEOにとって有効なのは明らかです。
これだけフィッシング詐欺などのネット犯罪が横行しているのですから、ユーザーの個人情報が盗聴されないように守るのは、サイト運営者が果たすべき責務と言えます。
今後、暗号化に対応していないWebサイトはユーザーからもGoogleからも「信頼に値しない!」とみなされ、検索結果で上位表示は望めないでしょう。