知らなきゃ危険!SSL対応とは

ブログ制作

こんにちは。

最近、「常時SSL」というキーワードを聞くことが多くなってきました。

個人向けのレンタルサーバでも無料で設置できるところも多くなり、今や対応してない方がヤバいという状況です。

今回は、そのSSLについて、技術寄りな話ではなく、とりあえずの概略を解説したいと思います。

 

スポンサーリンク

常時SSLってなに?

SSLは、Secure Sockets Layerの略で、平たく言うと、通信経路の暗号化をする技術です。

実はSSLという言葉は古い規格のため、正確にはTLS(Transport Layer Security)と呼んだ方が良いかもしれませんが、慣習的にSSLと呼ばれています。

SSLには「共通鍵暗号化方式」と「公開鍵暗号化方式」という技術が複合的に使われており、「第三者である認証局が発行した証明書」(公開鍵)を使うことでSSL化(=暗号化)を実現することが出来ます。

 

アクセスしているWEBサイトがSSLに対応しているかどうかの簡単な見分け方は、ブラウザのアドレスバーを見ればOKです。

アドレスが、https://~で始まっていれば、そのサイトはSSL対応済み、http://~であれば未対応という形になります。

GoogleCromeの場合、アドレスの左側に鍵マークが表示され、SSL対応されている旨が表示されます。

 

対応されていないと、下図のように「保護されていない通信」としてびっくりマークで表示されます。セキュリティ的によろしくないという状態です。

 

 

常時SSL対応しないとどうなるの?

暗号化の対義語としては、平文(ひらぶん)という表現が使われています。

 

例えば、サイト上に、名前、メールアドレス、電話番号、お問い合わせ内容などを入力するような「お問い合わせフォーム」があったとします。

 

これを平文サイトで入力させた場合、通信経路上で、悪意を持ってパケットの中身を参照する人がいれば、名前、メールアドレス等の個人情報が簡単に読み取られてしまう恐れがあります。

 

Wiresharkなどのツールを使えば、少しの知識でそれが可能になってしまいます。

 

最悪の場合、クレジットカード番号や、セキュリティキーが読み取られる可能性もあります(実際はSSL対応してないサイトはクレジットカードの利用は実質的にできない形にはなっていますが…)。

 

「そんな人いないでしょ」と思われるかも知れませんが、性善説で考えてしまうことがセキュリティ対策の大敵です。

インターネットは魑魅魍魎が跋扈する世界です。「いるかもしれない」で考えるのが基本スタンスでちょうどいいくらいです。

 

また、SEO的にも、SSL対応されているサイトは、されていないサイトよりも優遇されるようなので、マストで対応しておきましょう。

 

SSL証明書の種類

SSL証明書にはいくつか種類があります。

一つはドメイン認証とよばれるもので、最も簡単に設定できます。

もう一つは、企業認証と呼ばれるもので、実在する法人でなければ取得できません。

最後は、EV認証と呼ばれるもので、実在する法人で、かつ所在地の登録が必要になります。

取得の難易度は、ドメイン認証<企業認証<EV認証となり、掛かる費用も難易度に比例します。

EV認証の場合は、ブラウザのアドレスバーに企業の名称も表示されるため、より信頼性が高まります。

 

個人ブログでは、ドメイン認証で十分と思われます。

今では多くのレンタルサーバサービスで、無料で対応することが可能です。

 

常時SSL対応をするためには

アメブロやライブドアブログなど、無料のブログサービスに関しては、既に常時SSL対応がされているので、特に考える必要はありません。

問題になるのは独自ドメインを用いた場合ですが、レンタルサーバ業者ごとに、設定方法が異なりますので、マニュアルなどを参照して対応しましょう。

ちなみに別記事で、CORESERVEで対応する場合を書いているので、参考までにご覧ください。

 

コメント