コンテンツ運営をしていると、必ずといってもいいほど耳にするのが「SSL」という言葉。
「SSL」がどのようなものなのか。その仕組みを知らないものの「安全にインターネットをするために必要なもの」と認識している人は多いのではないでしょうか。
このページではSSLとはどういうものなのか、SSLを導入する意味やSSLの種類などについてお伝えしています。
SSLとは?
SSLとは「Secure Sockets Layer」の略で、「エスエスエル」と呼ばれます。
SSLはインターネットで安全に情報をやり取りするための暗号プロトコル(決めごと)で、保護された通信が行われることを意味します。
【SSLで行われていること】
SSLでの通信はこのような手順で行われ、最終的にはブラウザ、ウェブサーバーともに共通鍵を入手することになります。
ブラウザとサーバー間で通信されるデータは、共通鍵を使って暗号化・復号化されるため、たとえ盗聴されたとしても共通鍵を持っていないユーザーにはデータを解読されることはありません。
また検索エンジンの国内シェアNo1のGoogleは、ユーザーの利便性を高めるために次のようなガイドラインを出しています。
出典:
サイトのコンテンツを問わず、ユーザーによるウェブサイトへの接続を保護するために、HTTPS を導入することをおすすめします。
Search Consoleヘルプ「HTTPS でサイトを保護する」
このことからもSSLは今後ますます普及し、導入されているのが当たり前という日も近いと予想されます。
メリット
コンテンツ運営者にとって、コンテンツを常時SSL化することで得られるメリットは何でしょうか?
メリット1:ユーザーが安心して利用できるコンテンツの提供
SSL化されていれば通信は全て暗号化されるので、悪意のあるユーザーは盗聴やなりすましで個人情報を入手しても内容を知ることはできませんし、入手したデータの改ざん(※)もできません。
また通信を行った相手が事実を否認(※)したとしても、共通鍵を持っていることで関与したことを証明することも可能です。
※ECサイトの注文に対して「注文していない」(否認)などの行為。
つまりSSL通信を行うことは、ユーザーに安心して利用できるコンテンツを提供できるだけでなく、コンテンツ運営者にとっても大きなメリットとなるのです。
補足:ユーザーはサイトの安全性を意識している?
実はサイトが常時SSL化していないと、ユーザーの損失につながる可能性があると考えられています。
というのも、フィッシング対策協議会の「SSLサーバー証明書の表示の違いに対する意識に関する質問」で、アドレスバーの「https://」や「錠前マーク」を、ユーザーがどれくらい意識しているのかが調査されたのですが…。
フィッシング対策協議会「SSLサーバー証明書の表示の違いに対する意識に関する質問」
コンテンツをSSL化していなければ44.2%のユーザーがあなたのコンテンツの利用を控えてしまう可能性があるからです。
上記の調査は2019年7月に行われた内容なので、それ以降も個人情報流出事件が多発していることを考えると、「https://」や「錠前マーク」を意識するユーザーはさらに増えているかもしれません。
メリット2:SEO効果によって検索エンジンの検索順位が上がる
Googleは2014年に、以下のように公式発表しています。
出典:
ますます多くのウェブマスターが HTTPS(HTTP over TLS / Transport Layer Security)を彼らのサイトに導入するようになってきています。これはとても心強いことです。
こうした理由から、Google では過去数か月にわたり、Google のランキング アルゴリズムでのシグナルとして、暗号化された安全な接続をサイトで使用しているかを考慮に入れたテストを実施してきました。この実験ではよい結果が得られているため、ユーザーがもっと安全にサイトを閲覧できるよう、すべてのサイト所有者の皆様に HTTP から HTTPS への切り替えをおすすめしたいと考えています。
ウェブマスター向け公式ブログ「HTTPS をランキング シグナルに使用します」
つまり常時SSL化しておけば、検索順位によい影響を与えてくれるということです。
逆にGoogleがしびれを切らして、「常時SSL化していないサイトはペナルティだ!」と検索順位を下げてしまうリスクも考えなければなりません。
なぜなら2019年11月に、Chromeセキュリティチームが次のような発表をしているからです。
出典:
デフォルトで Mixed Contents(混在コンテンツ = https:// ページに安全でない http:// サブリソースがあるコンテンツ)がブロックされるようになります。
Chromium Blog「No More Mixed Messages About HTTPS」
この記事をかみ砕いて説明すると、『「http」または「https」でも一部「http」が混在しているコンテンツ(Mixed Contents:混在コンテンツ)は改ざんされているリスクを排除するために、ブロックするよ』ということ。
ウェブブラウザの国内シェアは、ChromeがPCユーザーの約41%、モバイルユーザーの約63%を獲得しています。
そんなChromeにブロックされてしまうと、その機会損失はいかほどになるでしょうか。
考えるのも恐ろしいですよね…!
デメリット
コンテンツの常時SSL化することはメリットばかりのように思われますが、デメリットがないということはありません。
サイトを常時SSLで考えられるデメリットは、以下のとおりです。
デメリット1:URLが変更になる
URLが「http://」から「https://」に変更されることで、リダイレクトするように対応する必要があります。
さらに企業のコーポレートサイトの場合は、ウェブサイトの修正だけでなく、名刺や宛名シールの変更も必要になるかもしれません。
これらの対応にかかる工数や費用は常時SSL化するデメリットだと言えるでしょう。
デメリット2:表示速度が遅くなる可能性も…
「HTTP/2」の接続は、SSLサーバー証明書の認証手続き(通信)が加わるため、「HTTP/1.1」よりも表示速度が遅くなることがあります。
ただし「あきらかに遅くなる」わけではなく、コンマ秒程度遅くなる可能性があるという話なのでそれほど気にすることはありません。
またSSL認証によってかかる負荷は、従来の「HTTP1.1」の接続よりも、5~10倍かかると言われています。
確認方法
自分のサイト、または閲覧しているサイトがSSL化されているサイトであるかは、URLのアドレスバーで簡単に確認できます。
またSSLサーバー証明書の発行元と有効期限については、アドレスバーに表示されている南京錠マークをクリックすると表示される[証明書]の実行で確認できます。
サイトを常時SSL化する方法
サイトを常時SSL化するには、大きく分けると無料SSLサーバー証明書を利用する方法と有料SSLサーバー証明書を利用する方法があります。
無料SSLと有料SSLのメリットとデメリット
無料SSLサーバー証明書と有料SSLサーバー証明書のメリット(青)とデメリット(赤)を、以下の比較表にしました。
|
無料SSLサーバー証明書
| 有料SSLサーバー証明書
|
信頼度
| 低い |
高い |
コスト
| 安い |
高い |
発行日数
| 即日 |
数日かかる |
導入難易度
| 低い |
高い |
サポート
| なし |
あり |
無料SSLサーバー証明書と有料SSLサーバー証明書ともに、暗号化の強度には変わりがありません。
それなのに、無料SSLサーバー証明書の信頼度が「低い」と言われるのは、「ドメイン認証」なのでサイト運営者の身元確認などが一切行われないからです。
また有料SSLサーバー証明書を利用した場合、認証局の過失で損害が発生したとき、その損害の補償を行ってくれる付加サービスが付くこともあります。
それ以外にも設定など困ったときはサポートを頼ることができるなど、手厚いサービスを受けることができるのは有料SSLサーバー証明書の大きなメリットだと言えるでしょう。
ただ一部の有料SSLサーバー証明書は更新の手続きが必要で、これはデメリットとして挙げられます。
ドメイン認証については、下記「SSLサーバー証明書のレベル」をお読みください。
SSLサーバー証明書の取得方法
ここではSSLサーバー証明書を取得する方法を紹介します。
無料SSLサーバー証明書の取得
無料のSSLサーバー証明書といえば「Let’s Encrypt(レッツ・エンクリプト)」。
アメリカ・カリフォルニア州にあるISRG(Internet Security Research Group)とう非営利団体が、安全なウェブサイトを実現するべく、賛同企業の支援を受けて無料のSSLサーバー証明書「Let’s Encrypt」(ドメイン認証)の発行を行っています。
「Let’s Encrypt」は多くのレンタルサーバーが導入していて、専用のコントロールパネルから簡単に導入できます。
参考図:グランパワーのコントロールパネル
また自社サーバーやコントロールパネルがないの場合も、「Certbot」というソフトウエアをインストールすることで、「Let’s Encrypt」の導入は比較的容易に行えます。
有料SSLサーバー証明書の取得
有料SSLサーバー証明書の取得は、次のような手順でSSLサーバー証明書の取得を行います。
1.秘密鍵の作成
2.CSRの作成
3.証明書の発行(認証局へ提出して発行してもらう)
4.発行された証明書のインストール
5.SSLの有効化
「秘密鍵の作成」や「CRSの作成」と聞くと難しく感じてしまうかもしれませんが、ほとんどのレンタルサーバーでコントロールパネルから手続きを行うことができます。
参考図:グランパワーのコントロールパネル
なお、有料SSLサーバー証明書が発行できるいくつかの認証局と価格(1年契約の場合)を紹介します。
|
ドメイン認証 |
企業認証 |
EV認証 |
digicert |
|
81,000円 |
162,000円 |
comodo |
9,600円~ |
25,800円~ |
71,500円~ |
GMOグローバルサイン |
34,800円~ |
59,800円~ |
128,000円~ |
セコム |
|
55,000円 |
130,000円 |
また弊社でも、低価格、サブドメインも無制限にご利用いただけるSSLサーバー証明書を取り扱いしています。
よろしければ、グランパワーのSSL証明書のほうもご覧ください。
CDNを利用する
実はコンテンツ(オリジンサーバー)を常時SSL化していなくても、CDNを利用すればユーザーにはSSL化された安全なコンテンツとして表示されます。
CDNの利用料金以外に何もランニングコストが発生しないこと、サーバーの負荷分散ができてサイトの表示も高速化されること、DDoS攻撃対策にもなることなど、SSL化以外のメリットを受けることができるのも魅力です。
POINT
もちろんliteCDNを利用しての常時SSL化ができるので、「何もせずコンテンツを常時SSL化したい」とお考えであれば、ぜひliteCDNを方法のひとつとしてご検討ください。
30日間の無料トライアル期間もご用意していますので、お気軽にお試しください!
SSLサーバー証明書のレベル
SSLサーバー証明書には、3種類のレベルが存在します。
ドメイン認証SSL(DV SSL)
3つのSSLサーバー証明書の中で、ドメイン認証(Domain Validation)が行われます。
ドメインの使用権の確認のみなので、メールで手続きが完了するので発行が早く、無料SSLサーバー証明書としても利用されています。
企業認証SSL(OV SSL)
3つのSSLサーバー証明書の中堅となる証明書で、企業認証(Organization Validation)が行われます。
各種書類と電話認証で、法的に実在している企業や団体であることが証明されています。
EV SSL
3つのSSLサーバー証明書の最高レベルの証明書で、EV認証(Extended Validation)が行われます。
企業認証に加え、第三者機関により法的・物理的に実在しているかを確認、また申請者の在籍確認が電話認証で行われます。
審査が厳密であるがゆえの発行の遅さと価格の高さがネックですが、アドレスバーの表示が変わるので安全性がユーザーに伝わりやすいです。
SSLサーバー証明書の有効期限が短くなるってホント?
2019年8月に、CAブラウザーフォーラムでGoogleが「SSLサーバー証明書の有効期間を1年に短縮する」と発議しました。
これは認証局側(CA)側に否決されたのですが、ブラウザ側の決定により実質1年のSSLサーバー証明書しか使えなくなってしまいます。
これはコンテンツ運営者側から見ると、手間もコストもかかる話になってくるため、人ごとではありませんよね?
今までの経緯
・2015年4月に有効期間5年のSSL証明書が発行できなくなり、発行・再発行から「39カ月」を超えないものに変更された
・2018年3月に有効期間3年のSSL証明書が発行できなくなり、発行・再発行から「27カ月(825日)」を超えないものに変更された
・2019年8月にGoogleが「SSL証明書の有効期間を1年に短縮する」と発議
・2020年3月にAppleが「2020 年 9 月 1 日 00:00 (GMT/UTCTLS) 以降に発行されたサーバー証明書は、有効期間が 398 日間を超えないものとします。」と発表
このように、SSLサーバー証明書の有効期限はだんだん短くなり、今後も短くなる可能性も否定できません。
ブラウザ側の対応
2019年8月にGoogleが発議したことにより、各ブラウザベンダーは次のように対応しました。
|
Google Chrome |
2020年9月1日以降 |
証明書の有効期限を最長398日に制限 |
|
Microsoft Edge |
2020年9月1日以降 |
証明書の有効期限を最長398日に制限 |
|
Apple Safari |
2020年9月1日以降 |
証明書の有効期限を最長398日に制限 |
|
Mozilla FireFox |
2020年8月31日以降 |
証明書の有効期限を最長398日に制限 |
これにより国内大手認証局では、有効期限「2年」の取り扱いを終了する動向をみせています。
有効期限が短くなるのはメリット?デメリット?
SSLサーバー証明書が短くなるのは、ユーザー視点では何も変わらない、むしろセキュリティが高まるのでメリットしかないと思います。
いっぽうコンテンツ運営者は、手間やコストが増えるのでデメリットとして感じるでしょう。
SSLサーバー証明書の有効期限が短くなるということは、ドメイン認証、企業認証、EV認証が行われるということなので、倒産や消滅した企業や団体のSSLサーバー証明書が悪用されるリスクを減らすことができます。
それに加え、万が一秘密鍵などが漏洩してしまった場合も、有効期限が短ければ悪用された場合の被害を抑えることができるでしょう。
SSLのエラーをGoogleデベロッパーツールでチェックしよう
コンテンツを常時SSL化して、URLアドレスで南京錠マークが表示されていても、Googleのデベロッパーツール(Securityパネル)で安全性に警告がでていることがあります。
This page is not secure.
証明書に問題がある場合に表示されるエラーです。有効期限切れになっていないかなどの確認を行いましょう。
Mixed Content
コンテンツ内のリンク(画像/JavaScript/CSS)に「http://」のものがあり、「混在するコンテンツ」として警告されています。
そのSSL化、安全ですか?安全性評価でサイトの評価をしよう
「常時SSL化したものの、本当に安全なのか不安…。」
そんな場合は、「SSL Server Test」を利用すれば、誰でも簡単にサイトの安全性をチェックできます!
使い方は簡単、「SSL Server Test」で表示される【Domain name】にチェックしたいサイトURLを記入して【Submit】ボタンをクリックするだけで、以下のようにコンテンツの安全性評価が表示されます。
評価A(どれでも)なら対応は必要ないと考えてかまいませんが、B以下の場合は脆弱性が検出されたことになるので、対応が必要になります。
SSL設定代行サービスとは?
Googleデベロッパーツールでエラーがある場合や「SSL Server Test」でB以下の評価の場合は、何かしら対応が必要にあります。
ご自身、または社内に対応を行える人員がいる場合は大丈夫ですが、そうでない場合はSSL設定代行サービスを利用するのもひとつの方法です。
SSLの設定代行業者一覧
この中で、エアロソニックのSSL代行は、「SSL Server Test にて、A ランク調整」まで保証されています。
コラム:どうして常時SSL化していないのか
株式会社フィードテイラーが行った「常時SSL化 調査レポート 上場企業サイト対応状況(2020年9月版)」で、上場企業の常時SSL化普及率は80.7%という調査結果が出ています。
また、コンテンツ運営者が次のような質問を「Yahoo!知恵袋」で投稿していることから、常時SSLの導入を阻んでいるのはコストだけでなく、導入の方法がわからないという原因も挙げられるのかもしれません。
「Yahoo!知恵袋」一部抜粋
・コストが高い
・どの種類を導入したらいいのかわからない
・導入方法や設定がわからない
https://chiebukuro.yahoo.co.jp/search/?p=SSL&flg=3&class=1&ei=UTF-8&fr=common-navi
実際、SSLの設定をしようとしたところ、「コンテンツの表示が遅くなった」、「コンテンツがエラーになって表示されない」という悲痛な問い合わせが弊社にもあります。
弊社の見解ですが、コンテンツの常時SSL化に不安を感じるなら、専門のSSL設定代行業者を利用するのが時間・手間・コスト(トラブルとなった場合)を考えるとベストかもしれません。
まとめ
サイバー犯罪は巧妙化して、今後も増えていくでしょう。
そんな中でコンテンツの信頼性を維持してユーザーを獲得することは、自分の利益につながります。
まだコンテンツを常時SSL化していないなら、早めに行いましょう!