本ページはこんな方におすすめ
- レンサバ選びの基礎知識を入れたい
- レンサバ絡みの基本用語(常時SSL)がわからない
現在では、ITに疎いオジサン、オバサンのみならずITそのものとそもそも無縁なジャンルにいる老若男女までが、「レンタルサーバーを借りてる」などという会話が一般的になってきました。このあたりで、レンサバ選びの基礎知識を地道に復習しておこうと思います。今回はSSLについてです。
SSL化とは
SSLとはSecure Socket Layerの略で、ウェブサイト間の通信を暗号化して行う技術のことです。
それに「化」をつけているということは、普通は暗号化していない通信を、SSLにのっけて暗号化して行うようにするという意味です。
具体的には「https://」の「s」がSSLという意味です(つまり通信内容を覗き見することが難しい)。一昔前なら、カードや個人情報を入力したりするページは、そのページだけはSSLで送受信していました。
一般には、例えば自宅や会社のルーターの場合は 「http://」とわざわざ「s」をつけないと思います。これは比較的覗き見されるリスクが低いかつ、覗かれたところで危険性が及ぶほど大した情報はないと認識されているからです。
Google Chrome 68(2018年7月リリース)からSSLで暗号化されていないウェブサイトを閲覧した際に、「保護されていません」と警告が出るようになりました。
「保護されていません」という意味は、誰かが通信内容を覗き見できますよという意味でもあります。天気予報やニュース程度なら覗き見してくれても大丈夫ですが、銀行取引や、怪しいサイトでの取引は中身を覗かれたくないのが普通です。
そのため、Google は10年以上前からサイトの常時SSL化の対応を始めており、SSL化していないサイトはデメリットを受けることになります。
現在では、クレジットカードや個人情報入力のフォームの内容を通信するときならず、普通のページ(ショッピングサイトのトップページなど)でも暗号化通信を行っています。それは、通信内容の保護という意味だけではなく、httpsを使い分けることで、どのタイミングでカード番号やパスワードを入力するかなどを、傍受者に悟らせないという意味もあります。そのため、通信内容を解読することはノーマルの通信(http://)より格段に難しくなっています。
「常時SSL(Always-On SSL)」は必要か?
現在、「常時SSL」は必要です。
レンタルサーバーを探しているときに、「常時SSL化対応」という文言をよく目にします。現在ではほぼすべてのレンタルサーバーが「常時SSL」に対応しているため、気に留めないものになりましたが、かつては未対応のサーバーがあったというだけです。
繰り返しますが、「常時SSL」に関しては、エンジニアが何らかのプログラム・アプリケーションのテストをするという場合でもない限り、現在では必須です。それ以外の選択肢はありません。未対応のサーバーそのものは、まずありませんので、未対応サーバーを選んでしまうというようなミスはないはずです。
もし、SSL化をしなかったら?
念の為、SSL化をしないと、そのサイトに以下のような不具合が起きます。
- サイトが正しく表示されない
- 検索順位が下がる
- ページの表示速度が遅い
- なりすましや重要な情報が漏洩、セキュリティ面でリスクに晒される
2000年代初旬に解説されたページで、メンテナンスを行っていないサーバーにアクセスできる機会があれば、ページが存在しているようなのにブラウザ上で表示されないサイトを実感できるはずです。現在の主力ブラウザ、Chromeでは2020年2月移行、テキスト、動画、音声、画像のhttpとhttpsの混合コンテンツはブロックがデフォルトになっています。つまり、ブラウザがページを表示しなくなってしまいます。
さらに、SSL非対応サイトはGoogleは検索結果からも順位を下げるか、検索結果から取り除くような対応になっています。
https通信はHTTP/2という次世代プロトコルに対応できますので、今後はさらに体感速度が上がります。一方http通信はこのメリットを受けられません。
最後は、セキュリティ面のリスクです。SSL化の本当の理由はここにあります。http通信そのものがただのテキストデータのやり取りですので、データを抜き取ることは難しくないものです。逆にhttpのデータの解析の容易さ、抜き取りやすさを利用して、エンジニアが各種デバイスのテストをするとき、デバッグの手間を下げるためにわざと使うことがあります。
その利点は欠点と裏腹で、なりすましサイトを作ったり、データを書き換えた悪質なページにユーザーを誘導したり、ユーザークッキーの内容を盗んだりして、http利用者が被害を被るようないたずらすることができます。結果的に関わったサイトの信用を失うことになります。
SSL で大切なのは認証内容である
「常時SSL」については、ほぼすべてのレンタルサーバーで対応していると述べました。また、ほとんどが無料でSSL化が提供されるはずです。SSLそのものは、暗号化して通信するだけの手段に過ぎないのですが、もう一つ重要な役割をもたせています。
それは、暗号化通信を行うサーバー(ドメイン・アカウント)の管理者が実在するかどうかを保証するという役割です。例えば、"xxxxx.yyyy.com" とSSL通信を釣る場合、信頼性の弱いSSLの(主に無料のSSLの)場合は、"xxxxx.yyyy.com" との通信は暗号化されて盗み見されにくいことは確かですが、そもそも" xxxxx.yyyy.com" というサイトの管理人が実在しているか、でたらめなものなのかまでは保証しません。保証しているのは、あくまで暗号化通信だけで、「通信内容を解読できるのは送信先のサイトだけだよ」ということです。
噛み砕いて見ていきます。
レンタルサーバーを契約したときに、SSLの設定を行い、ドメイン認証(DV)のSSLサーバー証明書を発行してもらいます。多くはレンタルサーバー会社が発行してくれます。
データが暗号化されているからといって、怪しいサイトにhttpsアクセスを行い、クレジットカードの番号を入力するような場合は、当然ながらセキュリティのリスクがあります。
例えば、自前でカードの決済サーバーを作り、SSLを導入し、そのサーバーに入力したデータは「SSLで暗号化されているから安心だよ」といってみたところで、そのサーバーそのものが詐欺師所有のサーバーだったりしたら本末転倒です。
そのため、カード決済やその他諸々の個人情報を扱う際には、「常時SSL」の中でも、認証が厳格である「企業認証(OV)やEV SSLサーバー証明書」が必要になります。
少しまとめると、
| 企業認証型(OV)/ EVタイプ | ドメイン認証型(DV) | |
|---|---|---|
| 信頼性 | 非常に高い | 普通 |
| 主なサービス名 | ・シマンテックSSLサーバー証明書 ・GeoTrust ・セコムパスポート |
・(有料)RapidSSL ・(無料)Let’s Encrypt ・(無料)StartCom |
| 年間費用 | 年間数万円から数十万円 | 年間数千円または無料 |
| 暗号化レベル | 高い | 高い |
| 主な対象 | 企業本体のWebサイト | ・宣伝主体のランディングページ(企業) ・個人のブログやWebサイト |
という感じになります。
「企業認証型 / EVタイプ」も「ドメイン認証型」も暗号化レベルは同じです。どちらの方が解読しやすいとか、難しいということはありません。ただし、サーバー証明書(サーバーに隠される証明書)を発行してもらいにくいのが「企業認証型 / EVタイプ」です。
こちらは、SSLサーバー証明書の中に組織情報も含まれるため、なりすましを選別し防止する効果があります。
わかりやすく言えば、個人の○✕八百屋店(のサイト)が△□三菱銀行としての証明書を得られることはありません。大企業の名前の入った証明書があれば、ユーザーの安心感、財布の紐をゆるくする高価がありますが、簡単に大企業名などで認証されないということになります。
個人のサイトは無料のドメイン認証型で問題ない
個人でサイトを運用している方で、ユーザーから自身のサイトで直接サイト経由でお金を募るような場合でなければ、ドメイン認証型で問題ありません。
多くの個人サイトで、お金を募るような場合でも、銀行口座のアドレスを開示したりしている程度ですので、その場合は自分のサイトで決済するわけではないと思いますので、SSLの設定に問題がなければ大丈夫です。
ブログの記事を読んでもらうのに、不必要に暗号化に拘ったところで得るものが多くありません。
企業・個人経営者のサイトは OV / EV タイプを導入しよう
一般的に会社と言われる存在なら当然、個人レベルでも信用のある事務所のような場合は OV / EVタイプのSSL認証を受けておくほうが、インターネットでの信用力は高まります。年間六万円程度の出費にはなりますが、個人経営のクリニック、法律事務所などはこの部分で手を抜くと信用がつきません。
ドメイン認証型(DV)との違いは、認証局と証明内容です。認証したサイトの会社(個人事業主)が実在することまで保証します。そのためお金のやり取りをする場合、実在確認がされているかいないかは大きな信用力の違いになります。
雑なたとえ話をすれば、国家資格と私的資格ぐらいの差があります。権威のある認証局に認証されたサイトは、権威がくっつきますので、Googleの検索順位上昇にも貢献します。事実、Googleの度重なるアルゴリズム変更で、個人サイトは影響をモロに受けますが、会社ドメイン(co.jpなど)で OV / EV タイプのSSL認証を受けている場合は、順位の変動が微小です。つまり、アルゴリズム変更の影響を受けにくいというメリットがあります。
理由は、おそらくですが、OV / EV タイプの証明書には、企業等の存在確認までなされるから、(責任を持って社会貢献していて)信頼できると判断されているからでしょう。
ここは世界的定番のシマンテックSSLサーバー証明書をチェックしておきましょう。
セキュア・サーバID、グローバル・サーバID、セキュア・サーバID EV、グローバル・サーバID EV ともに企業の法的実在性確認まで認証してくれるので、信用力は高まります。物品の取引などで所在地の認証まで必要な場合は、セキュア・サーバID EV、グローバル・サーバID EV といったEVタイプで企業の法的所在地実在性確認が担保されます。
いずれも高いのですが、信用力は高まりますので、稼いでいる事務所はケチらずに行いましょう。
がわからない 現在で ...){kind=link}