このブログでも度々記事を書いていますが、ウェブサイトのHTTPS化の流れは勢いを増しています。
今回は「ウェブサイトをHTTPS化するために必要なSSLとはどんなものなのか」をまとめてみます。
SSLとは?
SSL(Secure Sockets Layer)は、通信内容の暗号化と、ウェブサイトの証明をする仕組みです。
通信内容を暗号化することで、万が一通信を傍受されても情報が漏れることはなく、安全にやりとりをすることができます。
ウェブサイトをSSLに対応させるために必要なのがSSL証明書で、身元情報が含まれるので、偽サイトではないことを明示することができます、
SSL証明書には認証レベルがある
HTTPS化に必要なSSL証明書にはいくつかの認証レベルがあります。
- ドメイン認証 Domain Validation (DV)
レンタルサーバー等で手軽に手続きができ、容易に取得できます。
費用も高くても年間数千円程度です。 - 企業認証 Organization Validation(OV)
法人資格を持つ事業所や企業が取得できる証明書です。
手続きも厳格で、費用も年間数万円からとなります。 - EV認証 Extended Validation (EV)
企業認証をさらに厳格にしたもので、EV証明書ガイドラインにより審査が行われ発行される証明書です。
費用もさらに高くなり年間10万円以上になります。
認証レベルが違っても安全性は同じ
SSL証明書は認証レベルでの安全性には差がなく、いずれのレベルでも同じ安全性があります。
ただし、厳格な審査をパスして取得した証明書はより信頼度が高く、ユーザーにとって安心感を与えてくれます。
認証レベルの高いSSL証明書を取得しているウェブサイトには、発行元のシールを貼ることができます。
金融機関のネットバンク等ではより厳格な審査を必要としたEV認証が使われています。
SSLで防げること
盗聴
通信内容を暗号化しているので、万が一通信内容を傍受されても、内容を判読することができません。
ネットショップでのカード決済等はもちろんですが、お問い合せフォームで送った個人情報、サービスにログインするIDやパスワードも送受信されますが、暗号化されていなければ、傍受されたら丸わかりになる恐れがあるのです。
SSLで通信することで暗号化されるので、盗聴が難しくなり、安全性が高まります。
改ざん
通信内容を傍受できる環境下では、その内容を改ざんして送ることもできますが、SSLで通信することで通信内容の改ざんを防ぐことができます。
なりすまし
偽サイトを使って情報をだまし取るフィッシング詐欺がありますが、SSL証明書を使ったウェブサイトであれば、サイトの持ち主の情報を確認することができるので、なりすましかどうかを区別することができます。
認証レベルの高いSSL証明書はこの点がより優れているわけです。
ブラウザも安全利用強化に注力
SSLで通信できるサイト(ページ)では、ブラウザのURL表示の左側にカギマークがつき、SSL通信ができることを明示してくれます。
逆に、個人情報等を入力するページがSSLで通信できないと 保護されていない という表示を出し警告してくれます。
(Google Chromeの場合)
この表示はさらに強化され、2017年10月に公開予定のChrome 62以降では、SSL通信ができない入力欄があるすべてのページで、警告を表示するようになります。
Google、10月提供のChrome 62以降で、入力欄のあるすべてのHTTP接続ページで警告を表示 シークレットモードでは全HTTP接続ページを警告表示の対象に
今後、Chromeに限らず、すべてのブラウザが同様な仕様になると思われます。
自分で更新できるウェブサイトで成果を上げる
スマホ対応やHTTPS化など、先を見据えたウェブサイトづくりを心がけ、成果を上げるための仕組み作りのご提案もさせていただきます。
現在運用中のウェブサイトのリニューアルも承ります。
