SSLは、企業のウェブサイトのセキュリティ強化には欠かせない重要な仕組みです。このページでは、SSLの概要と使われ方、SSLサーバ証明書の必要性・メリットと導入の流れについてわかりやすく解説します。
そもそもSSLとは?
SSL(Secure Sockets Layer)は、インターネット上のウェブブラウザとウェブサーバ間でのデータの通信を暗号化し、送受信させる仕組み(プロトコル)です。個人情報やクレジットカード情報などの重要なデータを暗号化して、サーバ~PC間での通信を安全に行なうことができます。
SSLとTLSの違い
「TLS(Transport Layer Security)」は、SSLの進化バージョンにあたるプロトコルです。「SSL/TLS」と表記されることが多いですが、その理由は、この2つのプロトコルが開発され、発展してきた経緯によるものです。
1994年に、SSL2.0がウェブブラウザ「Netscape Navigator 1.1」に実装され、SSLが広く一般に知れ渡るようになりました。その後、1999年にSSL3.0を基にしたTLSが登場しましたが、既にSSLという名称が広く使われていたために、現在では「TLSのことも含めてSSLと呼ぶ」または「SSL/TLS」「TLS/SSL」のような併記で使われる事が多いです。
SSLはどのように使うのか?
SSLは、主にウェブサイトから情報を送信する際に、情報を暗号化する為に利用をします。サイトの管理者は、送信される情報を悪意を持った第三者から守ると同時に、送信される情報が改ざんをされていないことを証明することができます。つまり、ウェブサイトを運用する上でSSLは切っても切れない関係です。
SSLが実装されている場合
SSLが実装されていない場合
「HTTPS」とは? 「HTTP」との違い
ウェブサイトへのアクセスでSSL暗号化通信が行われていると、データの内容は保護され、閲覧しているウェブブラウザのアドレスバーに表示されるURLの先頭は『https://』となり、『鍵マーク』が表示されます。
一方、SSL暗号化通信が行われていない場合は、データが平文のままのため、盗聴や改ざんを防げません。この場合、URLの先頭は『http://』となり、注意や警告マークが表示されます。
アドレスバーの先頭に鍵マーク
アドレスバーの先頭に注意マーク
SSL化の必要性とメリット
ユーザにより安心してウェブサイトを利用してもらうには、SSL暗号化通信に必要な鍵と、ウェブサイトの運営者の情報が含まれた「SSLサーバ証明書」をウェブサーバにインストールする必要があります。
SSLサーバ証明書は、ウェブサイトの「運営者の実在性を確認」し、ブラウザとウェブサーバ間で「通信データの暗号化」を行うための電子証明書で、GMOグローバルサインなどの認証局から発行されます。
SSLサーバ証明書導入で防ぐ3つのリスク
なりすまし
ウェブサイトの運営者になりすました第三者が、ログイン情報や決済情報などを取得し不正に取引を行うこと。
盗聴
インターネット上で送受信される個人情報や決済情報、Cookieなどの機密性の高いデータを第三者が盗み見する行為のこと。
改ざん
悪意ある第三者が、ユーザがフォームから送った内容を通信の途中で書き換えること。
SSLサーバ証明書が導入されたウェブサイトは、SSL暗号化通信ができることに加え、ユーザ自身でウェブサイトの運営組織の情報を確認することができます。
一般消費者にも認知されているSSL化の重要性
フィッシングサイトによる被害が後をたたないことから、一般消費者のインターネット上での個人情報保護に対する意識が、ますます高まっています。 インターネットインフラと化したSSLは、ビジネスユーザだけでなく、インターネットショッピングを利用するような一般消費者にとっても、ブラウザの鍵マークやhttps、警告表示がされていないかなどが確認対象となっています。
※2022年12月「一般消費者向け SSLサーバ証明書の認知度に関する調査」(調査協力・株式会社マクロミル)
全てのページをSSL化する「常時SSL」
常時SSL化とは、ウェブサイトのすべてのページをSSL化することです。ログインページやフォームなど特定のページだけでなく、その他すべてのページもSSL化することで、ログイン情報や決済情報だけでなく、Cookieの盗聴も防止することができます。
ウェブサイトをSSL化(常時SSL化)するメリットとして以下の4点があります。
- [メリットその1] セキュリティリスクに対抗
- [メリットその2] 検索順位への影響
- [メリットその3] ウェブサイト分析への有効活用
- [メリットその4] ウェブサイトの高速表示
SSL導入の流れ
SSLサーバ証明書は通常下記のステップで発行され、使えるようになります。
グローバルサインをはじめとするSSLサーバ証明書を発行する認証局は、単に【暗号化】を売っているのではなく、ドメインの所有者や企業の実在性を証明するための「審査」を行っています。
- STEP 1
- 事前準備
- CSRや受信用メールアドレス、登記簿謄本などの書類
- STEP 2
- SSLサーバ証明書お申し込み
- ウェブサイト上で必要事項を記入し申請。
- STEP 3
- 審査・認証・証明書発行
- 認証局にて審査と認証・確認を行なった後、証明書を発行
- STEP 4
- SSL設定・インストール
- 発行された証明書をウェブサーバにインストール
- STEP 5
- 利用開始