SSLって何?今さら聞けないSSL暗号化通信の仕組みや種類について
最近よく耳にするようになってきた「SSL」という言葉。WEBに携わっている方にはお馴染みの言葉ですが、そうではない方にとってはなんとなくしかわからない、「https://〜」というアドレスになるという事だけは知っているという方も多いのではないでしょうか。
弊社でもホームページ制作をご依頼いただくお客様から「SSL」に関するご質問が増えてきており、詳しくご案内する機会が増えてきております。
そこで今回は、「SSL」に関する仕組みや種類、導入方法についてご紹介していきたいと思います。
目次
SSLとは
SSLとは、「Secure Sockets Layer」の略称で、アクセスしようとしているWEBサイトとユーザーとの間のやり取りを暗号化するための仕組みです。
インターネット上では悪意のある第三者によって通信の中身を盗み見されたり、内容を改ざんされたり悪用されたりする可能があります。
例えば、クレジットカード番号やパスワード、メールのやり取りなんかも盗み見することが可能で、インターネット上は常に危険にさらされている状態であり、そのままだと安心してインターネットを利用することができません。そこで必要になってくる仕組みが、暗号化して通信を行う「SSL」というわけです。
以前は決済画面やログインページなどの特定のページに多く利用されていましたが、現在では公衆無線LAN(Wi-Fi)の環境拡大などで盗聴リスクが高まったこともあり、常時SSL化(全てのページが対象)が推奨されるようになりました。
補足になりますが、「SSL」という名称のほかに「TLS(Transport Layer Security)」という名称があります。この2つは同じ機能を指しており、「SSL」がバージョン3.0までバージョンアップされた後、「TLS1.0」という名称に変更されました。
「SSL」という名称の方がまだ広く使われているので「SSL/TLS」と併記されていることも多いです。
この記事では、認知度の高い「SSL」という名称で話を進めていくことにします。
SSL暗号化の仕組み
SSLサーバー証明書
SSLサーバ証明書は信頼のおける第三者機関(認証局)が発行する電子的な証明書です。
証明書にはWEBサイトを安全に利用するための3つの機能が備わっています。
- WEBサイトの所有者の確認
- 通信データの暗号化
- 改ざんの検出
WEBサイトにアクセスする際、サーバー証明書はこれら3つの項目を確認・実行しサイトを表示させています。
SSL通信が成立するまで
ブラウザから通信要求があるとサーバ上で「公開鍵」と「秘密鍵」を生成し、 ユーザーはサーバー証明書に含まれる「公開鍵」を使って送信する情報を暗号化します。
サーバに届いた情報は、 サイト運営者の持つ「秘密鍵」でのみ復号することができ、このやりとりで暗号化通信を成立させてます。
SSLの種類
SSLサーバー証明書には大きく分けて3つの種類があります。
種類によって暗号化技術に差があるわけではありませんが、大きな違いとして、サイト運営組織の実在性の確認方法が違います。
それでは順番にご紹介していきましょう。
1.ドメイン認証型
簡単なオンライン審査でWEBサイトのドメインの所有者が確認出来れば取得可能。
安価で短期間で取得でき、個人でも取得できるのが特徴。
しかし、WEBサイトの運営組織の実在性は確認しないので、悪意のある「なりすまし」サイトの抑止効果は限定的です。
2.企業認証型
登記事項証明書の確認や第三者データベースに組織情報の照会を行い、証明書に記載される組織が法的に実在し、その組織が証明書に記載されるドメインの所有者であることを確認し発行されるを証明書です。
各種書類の審査および申請者へのインターネットを経由しない電話等での確認を行うことで、ドメイン認証型よりもさらに信頼性が向上します。
3.EV(Extended Validation)認証型
3種類の中で最も厳格な手続きで証明書が発行されるのがこのEV認証です。
企業認証と同じく法的な実在性の確認に加え、「署名権限確認者」の在籍確認や「申請責任者確認書」による確認が別途必要になってきます。
またブラウザのアドレスバーが緑色(Google chrome69以降は黒)になることや、企業名が表示されるので視覚的にも安全性をアピールできるのでサイト訪問者に安心感を与えることが出来ます。
認証型の比較表
| ドメイン認証型 | 企業認証型 | EV認証型 | |
|---|---|---|---|
| 審査の基準 | やさしい | 厳しい | 厳格 |
| ドメイン利用権 の確認 |
◎ | ◎ | ◎ |
| 組織の法的実在 の確認 |
◎ | ◎ | |
| 組織の物理的実在 の確認 |
◎ | ||
| 組織運営の確認 | ◎ | ||
| 署名者・申請者 の確認 |
◎ | ||
| 発行対象者 | 個人/法人 | 法人 | 法人 |
| アドレスバー | https | https | https 組織名が表示 緑色 |
| 信頼性 | △ | ○ | ◎ |
| 最適なサイト |
|
|
|
| 費用 | 安価 | やや高額 | 高額 |
SEOへの影響
SSL化することにより、SEO的にも少なからず恩恵を受けることができます。
これはGoogleが公式にランキング評価を優遇すると明言しています。
【参考】
⇒ Googleウェブマスター向け公式ブログ:HTTPSをランキング シグナルに使用します。
しかし、SSL化したからといって劇的に評価があがるわけではありません。
あくまで評価が上がる一つの要因にすぎないということであり、しっかり最適化されたサイトであることの方が重要であることを理解しておきましょう。
まとめ
いかがでしたでしょうか。
今回はSSLについて簡単にご紹介しました。
最近では企業のECサイトなどユーザーの情報を取り扱うサイトはSSL化されていることがほとんどですが、まだまだSSL化されていないWEBサイトもよく見かけることがあります。
導入を検討されている方は、自身が運営しているサイトに最適なSSLプランを見つけて、ユーザーから安心して訪れてもらえるサイトにしていきましょう!
