SSLとは?TLSとの違い、導入のメリット・デメリット、SSL化の流れをかんたんに解説
最近では必須になりつつある常時SSLですが、SSL化することによりどのようなメリット・デメリットがあるのでしょうか?この記事では、メリット・デメリットをはじめSSLとTLSの違いやWebサイトにSSLを導入する方法について解説します。
SSLとは
SSLとは、インターネット上でやりとりするデータを暗号化して送受信をおこなえるようにするセキュリティ対策です。つまり、SSLは安全にデータのやりとりをするうえで必須ともいえるでしょう。
たとえば、インターネット上ではクレジットカードや住所などの個人情報のやりとりをする場面も少なからずあります。そこで情報の傍受や流出を防ぐうえでは、SSLによる暗号化が有効な手立てとなります。
SSLの仕組み
前述のとおり、SSLはデータを暗号化して送受信をおこなうセキュリティ対策です。仕組みとしては、ブラウザ側とサーバー側で共通鍵を交換しておき、共通鍵をもったものどうしでデータを暗号化してやりとりをおこないます。
そのため、共通鍵をもっていない第三者は、データの内容を覗いたり、盗んだりできない仕組みです。
SSLとTLSの違い
SSLとよく似た仕組みとしてTLSがあります。TLSはSSLの次の世代のセキュリティ対策です。しかし、厳密な使い分けはされていないケースも多く、TLSを指してSSLと呼んでいるシステムもあります。
SSL/TLSとひとくくりにされることもあるため、どちらもセキュリティ対策の一環であるとおさえておきましょう。
WebサイトではHTTPS(常時SSL)が必須
Webサイトにおけるデータ送受信の安全性を担保するうえで、SSLは非常に重要な役割を担っています。WebサイトのSSL対応は「常時SSL」とも呼ばれており、つねにデータ通信を暗号化されている状態を指しています。
また、どのサイトがSSLを使ってセキュリティ対策をしているかがわからないと、ユーザー視点では不安に感じることもあるでしょう。
そこで見分けるコツとして、画面上部にあるアドレスバーを確認する方法があります。URLの先頭がhttpsから始まっていれば、SSLによって暗号化されていると判断することが可能です。
SSLの種類と認証項目
SSLには主に以下の3つの種類があり、それぞれ特徴・用途・認証項目が異なります。
- ドメイン認証SSL
- 企業実在認証SSL
- EV SSL
ドメイン認証SSLは、もっとも安価で導入できる方法であり、早急にセキュリティの強化をおこないたい場合によく用いられます。認証項目も簡易的となっており、ドメインの所有者であれば導入が可能です。
企業実在認証SSLは、組織の安全性の証明、公式サイトなどのサキュリティ強化をおこないたい場合によく用いられます。認証項目は、ドメインの所有者であるという点に加え、法的に実在する企業である点です。
EV認証型は、決済情報を取り扱う場合などによく用いられます。認証項目はドメインの所有者であること、法的に実在する企業であること、企業が物理的にあることの3つです。
認証項目が多いほど、導入までにかかる手間は増えますが、けっして認証項目が多い方が安全というわけではありません。
WebサイトにSSLを導入するメリット
SSL導入の目的はセキュリティ強化であることがほとんどです。しかし、SSLを導入するメリットはセキュリティ以外にもあります。
以下では、SSLを導入するメリットについて解説します。
セキュリティリスクを軽減できる
インターネット上では「偽サイト」「暗号化していない公共のWi-Fi」「Cookieへの入り込み」などの危険があります。ユーザーが公共のWi-Fiを利用しないなどの対策も有効ではありますが、ふと立ち寄ったお店で利用してしまう危険もあるため、万全の対策とはいえません。
一方、SSLを導入しておくことによって、ユーザーがリスクを回避してWebサイトを利用できるようになります。
SEOでネガティブな評価を避けられる
SEOの評価基準に関してはいくつかありますが、SSLを導入しているかという点も基準のひとつです。実際、Googleは2015年に同じコンテンツのページであれば「http」のページより「https」のページを優先するとアナウンスしています。
具体的には、SSLを導入するとSEO評価が上がるわけではなく、SSL化していないことによる減点評価対象にならないといったイメージです。
SSLを導入することによって、セキュリティ対策ができるだけでなく、SEO上のネガティブな評価を避けられるため、Webサイトの運営者にとっては導入する価値がぐっと上がるでしょう。
ユーザーの行動を分析できる
SSLを導入してサイトを「https」にすることによって、Googleの検索からサイトに訪問したユーザーについてはアクセスログが残る仕組みになっています。アクセスログを利用すればユーザーの行動を分析できるため、サイトの改良にも役立つでしょう。
一方、サイトが「http」の場合はリファラ情報が送信されず、流入元の情報を獲得できなくなってしまいます。
Webサイトの表示速度を上げられる
SSLを導入することによって、Webサイトの表示速度を上げるのに必要な「HTTP/2」を利用できます。表示速度を上げることは、ユーザーにとってもメリットが大きく、大規模なサービスを提供しているサイトにおいて、ページスピード対策は必須ともいえます。
ユーザー体験にも大きく影響する部分であるため、ページスピードの観点からもSSLを導入すべきといえるでしょう。
WebサイトにSSLを導入するデメリット
SSLの導入により多くのメリットが得られる一方、導入することによるデメリットも存在します。
以下では、SSLの導入によるデメリットについて解説します。
SSL導入にコストがかかる
SSLはWebサイトを安全に運営するうえで必須ですが、コストをかけずに導入できるわけではありません。とくにEV認証型を導入する場合、10万円以上の費用がかかるため、SSLの導入にあたっては予算を確保しておく必要があります。
SNSボタンのカウントがリセットされる
SSLを導入するとサイトのURLが「http」から「https」に変更されます。変更の前後ではサイトが別物と判断されるため、それぞれのページに設置されていたSNSボタンのカウントがリセットされます。
カウントリセットによる影響が懸念される場合には、カウントの表示を一時的に取り下げるなどの対応が求められるでしょう。
サーバーやインフラに関する知識が求められる
独自でサイトを構築している場合、WebサイトにSSLを導入するにはそれなりに難易度が上がってしまいます。インハウスで運用している企業であれば、担当者がSSL導入を対応できますが、Webサイト構築を外注しているのであればSSLの導入にあたってもアウトソーシングが必要です。
SSL通信の流れ
SSL通信が成立するまでの過程は、大きく5つに分けられます。
まず、ブラウザ側からSSL通信のリクエストがあり、サーバー側はブラウザ側からのリクエストを受け取り、SSLの証明書を送ります。これはSSL証明書と通信先のドメインが一致していることを確認する動作です。
次に、SSL通信に必要な共通鍵を交換します。最後に共通鍵を使用して、送受信するデータを暗号化できればSSLの通信は完了です。
WebサイトにSSLを導入する方法
実際にSSLを導入する際は、どのような手順でおこなえばよいのでしょうか。
以下では、SSLの導入方法について解説します。
CSRを作成する
はじめに、使用しているWebサーバーでCSRを作成します。CSRの作成に関しては株式会社日本レジストリサービスのWebサイトが参考になります。
CSRの作成時に気をつけるポイントとして、作成手順がWebサーバーのアプリケーションによって異なるため、しっかり事前に確認してから行いましょう。
サーバー証明書を発行する
次に取扱指定事業者へサーバー証明書の発行を申し込みましょう。
審査・認証を受ける
サーバー証明書の発行の申し込みが完了したら、ドメイン名の登録情報、電話などでの審査・認証を受けます。
Webサーバーにサーバー証明書を設定する
審査・認証が終わったら、Webサーバーにサーバー証明書を設定して導入は完了です。
SSLに関するFAQ
SSLはWebサイトに重要なものであると知りつつも、なかなか理解ができていない方も多いのではないでしょうか。
以下では、SSLに関するよくある質問について解説します。
SSL設定しないとどうなるの?
SSL設定をしていないとさまざまなデメリットがありますが、主には以下のような状況が懸念されます。
- セキュリティ面でのリスクが高くなる
- SEOの評価が受けにくくなる
- サイトが正常に表示されない
- ページ表示の速度が遅くなってしまう
SSLが導入されているかどうかの見分け方は?
SSLが導入されているかどうかの見分け方は主にふたつです。
ひとつ目はアドレスバーの左側に鍵マークがあるかどうかを見る方法です。左側に鍵マークが表示されていればSSLが導入されています。
ふたつ目はURLの表示が「https」になっていればSSLが導入されています。こちらのURLに関しては「http」と表示が似ているため、間違えないように注意しましょう。
SSLの危険性は?
SSLはセキュリティ対策として有効ですが、ときどき脆弱性の報告があります。SSLで暗号化通信をおこなう場合、個人情報や機密情報などを取り扱っているケースが多いです。
そのため、SSL化されている情報は悪意のあるハッカーから狙われやすく、万が一脆弱性を突かれると被害が増えやすいともいえます。
SSLの値段の違いはある?
SSLを導入する際の費用は、SSLの種類によって異なります。SSLにはドメイン認証SSL・企業実在認証SSL・EV SSLの3種類があり、費用の目安としては以下のとおりです。
- ドメイン認証SSL:3万円
- 企業実在認証SSL:5万円
- EV SSL:11万円
まとめ
Webサイトにおいては、ユーザー体験はもちろん、ユーザーの安全性にも気を配らなければいけません。つまり、Webサイトを構築するうえでは、セキュリティ面に関してはしっかりと対策をする必要があります。
SSLの導入はセキュリティ対策のひとつとして、非常に重要な役割を果たしてくれるでしょう。