公開するWebサイトの全ページを対象にSSL(Secure Sockets Layer)を設定することを、常時SSL化といいます。今回は、常時SSL化していないと起こる問題や、SSLサーバ証明書の種類などをご紹介します。
常時SSL化とは
インターネット上では、悪意のある第三者によってデータを悪用されてしまう危険性があります。例えば、ショッピングサイトで購入者の個人情報やクレジットカード、パスワードといった重要な情報が悪用されてしまうケースです。SSLは、インターネット上での通信を暗号化することで、悪意のある第三者によるデータの悪用を防ぐことができます。
常時SSL化とは、Webサイト内のどのページも常にSSL化されて安心という意味合いになります。一昔前はお問い合わせフォームなどの個人情報を入力するページにだけ実装されてる事が多かった印象ですが、最近では関連技術が進化して、SSLサーバ証明書のコストも下がっており、常時SSL化の導入が進んだ事で、インターネット上のサービスを安心して利用できるようになりました。
SSL化してないと起こる問題
2018年7月リリースのGoogle Chrome 68より、SSL化されていないWebサイトを開くとアドレスバーに「保護されてない通信」との文字列が表示されます。この警告が表示される事でサイトを訪れたユーザーが不安になったり、企業サイトの場合は会社の信頼性にも影響を及ぼす場合もあります。
例:Google Chrome
例:Safari
SSLの確認方法
閲覧してるホームページや、ご自身のWebサイトがSSLによって保護されているか見分けるにはブラウザのアドレスバーに表示されるURL「http://」にセキュア(Secure)を表す「s」が付き、「https://」の形式になっていればSSLが設定されています。最近のブラウザではURLの左横に「鍵マーク」が表示されてるので、鍵マークの表示の有無でも確認する事ができます。
例:Chrome
SSLサーバ証明書の種類
SSLサーバ証明書には、いくつかの種類があり導入コストや審査も異なります。運営するWebサイトの必要性に応じて選択するのが良いでしょう。
ドメイン認証SSL(認証レベル1)
3つの認証レベルの中で、もっとも手軽な認証方式がドメイン認証(DV:Domain Validation)と呼ばれるものです。証明書に記載されているドメインの使用権を、SSLサーバー証明書の所有者が所有していることを証明するものです。証明確認はメールのため証明書発行が早く、他の認証レベルの証明書と比較すると価格が安いことが特長です。
企業認証SSL(認証レベル2)
企業認証(OV:Organization Validation)と呼ばれ、法人サイトなどで一般的に使われている認証方式です。法的に実在している企業・団体が運営しているサイトであることを証明するものです。企業認証を取得するには各種書類の審査および申請者への電話確認が必要になるため、ドメイン認証と比べ、信頼性が高いことを証明することができます。
EV認証SSL(認証レベル3)
もっとも厳格な認証方式がEV認証(EV:Extended Validation)と呼ばれるものです。企業認証の審査に加え、各種書類および第三者機関のデータベース等により、申請組織が法的・物理的に実在しているかを確認すると共に、申請者の在籍確認と電話確認を行います。審査が厳格であるため、証明書の発行まで時間はかかりますが、緑のアドレスバー表示により、安全性をわかりやすくアピールすることができます。
まとめ
SSLについていかがでしたでしょうか?スマートフォンやタブレットなどモバイル端末の普及により、クライアントとサーバ間で送受信されるデータ(ログイン情報や閲覧データなど)を第三者に覗き見されるリスクが高くなっていることでSSL対応(常時SSL化)が進んでいます。
常時SSL化は SSL証明書を取得して設定を施す必要があります。
公開するWebサイトの全ページを対象にSSL(Secure Sockets Layer)を設定することを、常時SSL化といいます。今回は、常...