ショッピングから納税などの政府関係手続きまで、今やWebサイト上に入力しない個人情報はないほど、オンラインで様々な手続きが行えるようになりました。
現在、インターネットセキュリティの標準的な仕組みとして多くのWebサイトに導入されているのがSSLです。
今回は、SSLの基本機能と導入のメリット、またSSLがサイトに導入されているかどうかの確認方法やSSLサーバー証明書の種類等、基本的な知識について説明します。
SSLとは?
SSLは、Secure Sockets Layerの略で、インターネット上のウェブブラウザとウェブサーバー間の通信を暗号化する技術のことです。
SSLの技術を導入することで、通信の安全性を保つことができ、それによる様々なメリットを得られます。
SSL 開発の経緯と、SSL/TLS
SSLは、1990年代に米国で開発され、その後の改良を経て、現在は次世代の規格であるTLS(Transport Layer Securityの略)に進化しています。
SSLの名称が一般的に普及しているため、実際はTLSの暗号化技術でも「SSL」または「SSL/TLS」と表記されることが多いです。
この記事では、SSL=TLSとして解説していきます。
SSLの基本機能と導入のメリット
SSLの基本機能は「通信相手の認証」と「通信の暗号化」です。
SSLを導入することによってインターネット上の取引における様々なリスクから利用者のみならず、Webサイト運用者を守ることができる、というメリットがあります。
通信相手の本人確認性→「なりすましの防止」
「なりすまし」は、本物のWebサイトに似せた偽サイトにユーザーを誘導し、ユーザーがそれと気付かずに入力する機密情報を盗みとる手口の行為です。
SSLは「通信相手の認証」を基本機能とするため、抑止効果があります。
通信路の暗号化→「盗み見(盗聴)からの保護」
インターネット上でやりとりされる下記のような重要なデータが、例え盗み見られたとしても、悪用されることを防ぎます。
SSLは「通信内容を暗号化」する仕組みがあるためです。
- オンラインショッピングでのクレジットカード情報
- 各種サービスのフォームなどに入力する個人情報
- オンラインで送付する企業などの機密情報等
通信内容の改ざんの検知→「通信内容の保護」
インターネット上の取引に関わる具体的な情報(商品や発注数等)が通信途中で改ざんされることを防ぎます。
通信した事実と内容の事後証明→「通信相手の否認防止」
例えば、ショッピングサイトなどにおいて、ある利用者が自分で行った注文行為にデータの改ざんがあったと主張するケースにおいて、それが悪意に基づく場合は「否認」と言う行為になります。
SSLが実装されたウェブサイトでは、第三者によるデータの改ざんは不可能となるため、このような否認行為に掛かる運営者側のリスクも防止できます。
SSLの確認方法と重要性
では次に、ユーザー側では、閲覧中のWebサイトのSSLはどのように確認することができるのでしょうか?
SSL導入の確認方法1:httpsとhttpの違い?
Webページを閲覧中に、アドレスバーに記載のURLが、「http://」だったり「https://」だったりすることに気が付かれた方もいると思います。
結論から言えば、httpsの「s」は「Secure」のSで、SSLが稼働しているWebページであることを意味します。
SSL未対応のWebページのアドレスはhttp://で、SSLに対応している場合はhttps://から始まります。
SSL導入の確認方法2:アドレスバーの錠前アイコン
また、httpsのページでは、SSL稼働中は、アドレスバーの左端に錠前マークが表示されます。錠前アイコンをクリックすると「サーバー証明書」の情報が表示されます。
SSL未対応のhttpのページでは、錠前マークではなく、三角や丸の中に「!」のようなマークになって、このページでの通信がSSLで保護されていないことを表しています。
例えば、日本で最も普及しているWebブラウザ・Google Chromeでの表示は下記のようになっています。
SSL化しないとどうなる?SSL導入の重要性
検索エンジンのGoogleは、2014年にWebサイトがSSL化されているかどうかを、検索順位を決定する要素の1つとすると発表しました。
つまり、SSLを導入しているWebサイトを、検索順位でより上位に表示するようにした、ということです。
また、昨今のインターネット犯罪の増加やメディアでの報道に伴い、情報漏洩等のリスクに敏感になったユーザーが増え続けています。サイト管理者として安全な通信を提供することは、ユーザーの離脱等を防ぐ目的でも重要です。
SSLサーバー証明書とは?
WebサイトのSSL化とは、SSLサーバー証明書を取得し、Webサーバーへ実装することです。
SSLサーバー証明書は、信頼のおける第三者機関である「認証局」にて、申請内容を認証後に発行されます。
SSLサーバー証明書の認証には大きく3種類!
SSLサーバー証明書には、認証の程度(高〜低)によって3種類あります。簡単に見て行きましょう。
SSLの種類1:ドメイン認証型(DV)とは?
SSL認証局がドメイン名の所有名義をオンライン審査で確認し発行される証明書です。
低価格、また短期間で取得できる上、個人での取得も可能。
ただし、Webサイト運営組織の実在性は確認されないため、組織の実在性は不透明となってしまいます。なりすまし抑止効果は限定的ですが、暗号化通信に特化した証明書として利用されています。
SSLの種類2:企業実在認証型(OV)とは?
SSLの認証局がその企業が実際に存在するかどうか、登記簿謄本、実印による申請書、印鑑証明書などの書類で確認し、発行される証明書です。
発行される証明書に記載の組織情報は偽装ができないため、Web サイトの「なりすまし」防止に効果があります。
個人は取得できません。
SSLの種類3:実在証明拡張型(EV)とは?
企業実在認証型より、さらに厳格な組織情報の審査を実施の上、発行される証明書です。
SSLの認証局により、電話での組織の実在確認や会社の状況の確認も行われます。
証明書の内部に、OV型よりも詳細な企業情報が表示されます。
今回のまとめ
SSLの技術は思ったよりも身近にあって、私たちの生活を支えてくれていたことがわかってもらえたのではないでしょうか?
レンタルサーバーサービスでも、各種SSLを備えているプランもたくさんあります。
利用者・運営者双方にとって安心・安全なインターネットコミュニケーションができるためのインフラとも言える技術ですので、今後もその重要性は高まっていきそうです。
ご覧いただきありがとうございました。
コメント