SSLとは?TLSとの違いやエラーの原因、証明書の取得方法や確認方法を解説
SSLは、インターネット上のデータ通信を暗号化して送受信させるシステムです。SSLを導入すると、個人情報の盗聴(盗み見)やなりすまし、データの改ざんを防止してくれるため、SSLの重要度は年々増しています。この記事では、SSLの意味や役割、導入して防げるリスクについて解説します。SSLについて正しく理解し、サイトへの導入や導入するSSLの種類を検討してみましょう。
SSLとは
SSLは「Secure Sockets Layer」の略称で、インターネット上でデータを暗号化して送受信させる仕組みのことです。個人情報やクレジットカード情報、ログインID・パスワードなどのデータを暗号化することで、安全な通信を行う役割を担っています。
SSLとTLSの違い
サイトやコンテンツによっては「SSL/TLS」と表記されていることがありますが、TLSはSSLの次世代規格で、厳密には別物です。しかし、どちらも安全な通信を目的とした仕組みであることは同じで、2つのセキュリティプロトコルを指すためにSSL/TLSと表されることがあります。
SSLの仕組みを簡単に解説
|
SSLの仕組み上のポイントは、共通鍵暗号方式と公開鍵暗号方式の両方を用いてデータを暗号化している点にあります。共通鍵暗号方式とは、暗号化するための鍵とそれを復号するための鍵を同じものでするやり方です。この「共通鍵」は公開されておらず、送信側と受信側のみで共有されています。一方で、公開鍵暗号は、暗号化と復号とに「公開鍵」、「秘密鍵」と呼ばれる異なる鍵を用い、暗号化用の鍵は公開できるようにした暗号方式です。この2つの暗号化方式を組み合わせることで、セキュリティの強固さと使い勝手を担保した仕組みになっています。
SSLの役割
安全性を高めることが目的のSSLには、役割が2つあります。それぞれの役割にどのような意味があるのか、解説します。
・サイト運営者の確認
暗号化通信
インターネット上のデータを暗号化することにより、第三者からの盗聴や情報の改ざんを防ぎます。サイトの規模に関係なく、SSLを利用して安全な通信をすることが一般的になっています。
サイト運営元の確認
SSLを導入すると、ブラウザから信頼された認証局が発行したSSL証明書の取得が可能です。SSL証明書にはサービス提供者の情報を登録する必要があり、ユーザーはSSL証明書を通してサイト運営元が誰なのかを確認できます。
SSL導入で防げる3つのリスク
インターネット上の通信を暗号化することで、3つのリスクを防ぐことができます。以下のリスクの軽減により、ユーザーも安心してサイトを利用できるようになるのです。
・なりすまし
・データの改ざん
盗聴(盗み見)
データ通信を盗聴(盗み見)されることを防ぎます。情報が盗聴されると、サイト利用後に迷惑メールが届いたり架空請求されたりするなど、個人情報が悪用される恐れがあります。通信が暗号化されていることにより、情報の解読が難しくなるため悪用しづらくなるのです。
なりすまし
サイト運営者へのなりすましもSSLで防げます。SSLが導入されていないサイトは運営者のIDやパスワードが盗まれ、運営者のふりをして個人情報を取得される危険があります。SSLが導入されていればIDやパスワードも暗号化されているため、なりすましを防げます。
データの改ざん
データの改ざんにより、注文内容などを改ざんされることを防ぎます。暗号化されていない情報は、第三者によって勝手に書き換えられてしまう可能性があります。データが暗号化されていれば、注文内容などが改ざんされることはありません。
SSLを設定するメリット
SSLを導入することにってユーザーが安心してサイトを利用できるようになります。設定するメリットはサイト側にもあり、それらについて解説します。
サイバー攻撃に備えることで安心して利用してもらえる
SSLを導入することによって、盗聴(盗み見)、なりすまし、データの改ざんといったサイバー攻撃を防ぐことができます。近年、セキュリティ被害は徐々に拡大傾向にあるので、一般のユーザーにまでセキュリティ意識が広まっています。そのためサイト側でもセキュリティに関する対策を導入することが求められます。SSLを導入していることはそれらに対応している証になり、ユーザー、顧客の安心感につながり、利用者の増加に繋がると考えられます。
SEO対策で不利にならない
2014年からGoogleは、ウェブサイトが常時SSL化されているかどうかを検索順位を決める1つの要素にしました。その結果、2022年の時点で、検索結果に表示されるウェブサイトの95%が常時SSL化している状態になっています。もはやSSL化するのは当然となっていて、対応しないと検索順位が大きく下がってしまう可能性があ離ます。ただし、対応したからといって大きな検索順位アップにつながるわけではありませんが、順位を下げないために確実に対応をすることが必要です。
SSLの重要性は一般消費者にも広がっている
近年ではフィッシング犯罪による詐欺被害が年々増加傾向にあります。そのため、一般消費者の個人情報保護意識が、ますます高まってきています。また最大手のブラウザのGoogle Chromeでは、SSLを導入していないサイトにアクセスした際に警告が出るようになっています。その結果として、インターネットショッピングを利用する際などに、ブラウザの鍵マークやhttps、警告表示などを確認する消費者が増えています。そのため、SSL対策を行うことで利用者の離脱率低下につながると考えられます。
SSLと非SSLの見分け方
アクセスしたサイトがSSLを導入しているかどうかは、URLとブラウザのマークで判別できます。SSLが導入されているサイトのURLは先頭に「https://」がつき、アドレスバーには鍵のマークが表示されます。2つのポイントが揃っていれば、アクセスしたサイトでのデータ通信は暗号化されることが保証されています。
一方でSSLが導入されていないサイトのURLは、先頭が「http://」です。アドレスバーには「!」のような警告のマークがついています。HTTP通信によりデータが送受信されますが、データは暗号化されず平文のため、盗聴や改ざんのリスクがあるでしょう。
SSLの種類と選び方
SSL証明書の発行には認証局による審査が必要で、審査で確認される事項の多さによって3種類に分けられます。それぞれの特徴や金額によって使い分け、サイトに合ったSSLを選びましょう。
| ドメイン認証SSL | 企業実在認証SSL | EV認証SSL | |
|---|---|---|---|
| 認証レベル | ★ | ★★ | ★★★ |
| 費用 | 安い | やや安い | 高い |
| 認証(調査)内容 | ・ドメイン名使用権があること | ・ドメイン名使用権があること ・組織が法的に実在すること |
・ドメイン名使用権あること ・組織が法的に実在すること ・組織が物理的に実在すること |
| 特徴 | ・スピーディーな発行 ・個人事業主でも登録可能 |
・最も利用されている ・法人のみ登録可能 |
・アドレスバーが緑 ・知名度の高いサイトや官公庁のサイトで使われる |
ドメイン認証SSL
ドメイン認証SSLは厳格な審査が不要で、証明書の発行が早いのが特徴です。LPや期間限定のキャンペーンサイト、組織内限定利用のサイトメールなどで早急にSSLを導入したいときにも役立ちます。個人および個人事業主でも登録できる、3種類の中でも安価なSSLです。
企業実在認証SSL
ドメイン認証SSLとは違い、法人のみが登録できるのが企業実在認証SSLです。登記簿謄本や企業実印入りの申請書、実印の印鑑証明書などを利用して、組織が法的に実在するか審査をします。組織名が表示された証明書が発行されるため、安心かつ安全なサイトであることをアピールできます。SNSや会員制サイトなどでの利用がおすすめです。
EV認証SSL
EV認証SSLは、3種類の中でも最も厳格な審査が行われる高額なSSLです。組織が法的に実在することだけでなく、組織の活動実態や登録された住所の正確性などの物理的な確認も行われます。官公庁や知名度の高いサイトで利用される傾向にあります。ECサイトやネット銀行など、特に安全性が求められるサイトでの導入がおすすめです。
SSL導入の流れ
SSLの導入には、ただ申込書を入力して送信するだけではなく、送付するデータや書類の準備が必要です。申し込みからインストールまでの流れを解説します。
Step1. CSR(署名リクエスト)の作成
CSR(署名リクエスト)は、SSLを導入したいWebサイトの情報を表すテキストデータのことです。あらかじめサーバー上でCSRを作っておきましょう。
Step2. 申し込み
オンラインで必要事項を入力し、認証局にSSLを申し込みます。申し込み時に作成しておいたCSRを送信します。
Step3. 送付する書類の準備・提出
SSLの種類によって必要書類が異なります。必要に応じて登記簿謄本、企業実印入りの申請書、印鑑証明書などを用意しておきましょう。
Step4. SSL証明書の発行
認証局の審査に通ると、証明書発行メールが送信されます。所定のURLからSSL証明書をダウンロードしましょう。
Step5. サーバーにインストール
ダウンロードしたSSL証明書をサーバーにインストールします。インストール方法は認証局やサーバーによっても違うため、注意が必要です。
SSL証明書の内容を確認する方法
SSL証明書にはサイトの所有者などの重要な情報が記載されています。ここからSSL証明書の内容を確認する方法について解説します。
アドレスバーから確認する
アドレスバーから確認するには、まずWEBサイトにアクセスし、アドレスバーのURLの左横にある鍵マークをクリックします。ダイアログボックスが出てくるので、その中の「証明書」の項目をクリックします。そうすると、証明書の発行元や発行者、有効期限が確認できます。さらに詳細情報としてシリアル番号の確認や、ルート証明書の確認をすることも可能です。
検索画面から確認する
検索画面から確認するには、SSL証明書の確認をしたいWebサイト上で、右クリックをして、「検証」項目をクリックします。検証画面が開いたら、その中で、「Security」タブをクリックします。「Security」タブが見当たらない時は「>>」マークをクリックしてください。そして、でてきた項目のうち「View certificate」ボタンを押します。そうすると、SSL証明書やCookie、サイトの設定などの情報が表示されます。
httpsエラーの原因と対応
httpsの接続でエラーが発生している場合、さまざまな原因が考えられます。多くの場合はサイトのセキュリティを保つために重要なSSLエラーに関連しています。エラーが起こる原因にについて把握し、対処方法を理解することで、サイトの安全性を高め、ユーザーインターフェースを改善することが可能です。ブラウザーのバージョンの確認やSSL証明書の管理など、下の表に主な原因と対応方法についてまとめているので、ぜひ参考にしてみてください。
| 項目 | 原因と対策 |
|---|---|
| ブラウザのバージョンが対応していない | ブラウザのバージョンが古いとエラーが表示されます。ブラウザのバージョンを最新にアップデートすることで解決できます。 |
| セキュリティソフトウェアによる干渉 | ソフトが誤ってSSL通信をブロックしてしまうことがあります。その際にはセキュリティソフトを一時無効化してみることが有効です。 |
| SSLサーバ証明書の期限切れ | 証明症には期限があり、切れると使うことができません。そのため、証明書の期限も確認するようにしましょう。 |
| URLのリダイレクトループ | リダイレクトされるURLが無限にループする状況だと通信が遮断されてしまいます。そのため、リダイレクトの設定を見直すことが有効です。 |
| WEBサーバーのポート番号設定の不備 | 通常https接続はポート443を使用するはずで、違う設定だとアクセスできなくなる可能性があります。対策としてポート番号を確認し、443に設定するようにしましょう。 |
SSLに関するよくある質問
SSLとはどういう意味ですか?
SSLとはSecure Socket Layerの頭文字のことを指します。これはインターネット上でデータを暗号化して送受信する仕組みのひとつで、個人情報を保護するために有効です。SSLは個人情報を取り扱うWebサイトで、情報が盗み取られるのを防止するため、広く利用されています。
SSL化されていないとどうなりますか?
SSL化していないホームページでは、個人情報などを第三者に盗み見られる可能性が高くなってしまいます。ほかにも第三者にデータを改ざんされる、ホームページが正しく表示されない、ページの表示速度が遅くなるなどのリスクがあります。またユーザーからネガティブに見られたり、SEOの評価が下がることもあります。
SSL-VPNとはなんですか?
SSL-VPNとは、暗号化にSSL技術を使用したリモートアクセスVPNのことを言います。これまで、通所のリモートアクセスVPNでは専用ソフトのインストールが必要でした。一方で、SSLによる場合はWebブラウザさえあれば通信可能であり、手軽である点が好まれています。
SSL導入で安心安全なデータ通信を
SSLとは、インターネット上でデータ通信を暗号化して送受信させる仕組みのことです。ユーザーの個人情報の漏えいやデータの改ざんを防ぐだけでなく、サイト運営者にとってもなりすましを防止でき、安全な通信が保証されます。SSLを導入したサイトのURLは「https://」から始まり、アドレスバーには鍵マークが表示されるため、一目で安全なサイトであることをユーザーに伝えられます。SSLを導入する際には、3種類のSSLそれぞれの特徴や費用などを考慮して、サイトに合ったSSLを導入しましょう。
SEOに関するご相談があれば、ぜひipe(アイプ)へご相談ください。
