WEBコンサル

SSL/TLS対応とは?仕組みや対応方法をわかりやすく解説

こんにちは。株式会社ソライル、Webコンサルタントの波多野です。

他のサイトでは出ていないのに自分の運営しているサイトにだけ「保護されていない通信」という警告表示がでていたら、あなたのサイトはSSLの対応がされていないということです。
SSL対応を行っていないと、あなたのサイトを訪れるユーザーにとっても、運営者のあなた自身にとっても大きな損害を招く事態にもなりかねません。

このコラムでは、なぜSSL対応が必要なのか、SSLの対応方法、SSL対応を行う上での注意点等について詳しく解説しますので、もしもあなたのサイトでSSL対応が行われていない場合は、これを読んですぐに対応を進めてください。

SSLとは

「SSL(Secure Sockets Layer)」とは、インターネット通信をおこなう際にその情報を暗号化して、第三者に大事な情報を盗まれないようにする仕組みのことを指します。

また、SSLを導入するためにはSSLサーバ証明書が必要となりますが、このSSLサーバ証明書は、そのサイトを運営する所有者の実在性を証明し、データを盗み取るような悪意のあるWebサイトではないということを証明してくれるため、そのサイトの信頼性をあげる役割を果たします。

TLSとの違い

SSLについて検索したときに一緒にでてくるものに「TLS(Transport Layer Security)」があります。

TLSは、SSLの規格が新しくなったバージョンのことなので、現在はTLSが主流となっています。

SSLは、規格として3.0バージョンまでのリリースで終了しているため、最近は使用が禁止されており、SSL規格を使用しているサイトはアドレスバーに「保護されていない通信」と警告が表示されるようになりました。

ただ、一般的にはSSLのほうがネーミングとしては広く知られているままなので、実際の通信はTLSで暗号化していても、SSL、あるいはSSL/TLSと併記されていることが多いです。

SSL/TLSの役割

SSL/ TLS対応は具体的にはどのような役割を担っているのか、具体的に見てみましょう。

第三者からのデータの改ざん・盗み見を防ぐ

SSL/TLS対応をしていないと、例えばサイトが不正アクセスによって第三者の手で改ざんされ、ユーザーがそのサイトにアクセスすると自動的に不正プログラムがインストールされ、ユーザーのPCから勝手に個人情報を抜きとるといったことができてしまいます。例えばその情報の中にクレジットカードの情報がある場合、勝手に使用されてしまうといった重大な問題に発展することもあるのです。

過去には、政府機関や大手自動車メーカーのサイトも不正アクセスによる改ざん被害を受けています。
内容によっては多大な被害を招きかねない重大な事象となりえるのです。

SSL/TLS対応を行うことで、このような危険な手からサイトを守ることができます。

不正サイトのなりすましを防ぐ

例えば悪意のある第三者が銀行のサイトを偽装して作成し、あたかも正規の銀行サイトであるかのようになりすましてサイトに訪れたユーザーに口座番号やパスワードを入力させ預金を盗み取るといったことも、SSL/TLS対応を行うことにより防ぐことができます。

SSL/TLSには、通信を暗号化するという役割のほかに、サイトデータをもっているサーバと、サイトに訪れるユーザーの間にSSL証明書を発行する第三者が入り、ユーザーが訪れているサイトが本物であるということを証明するという役割があるのです。

ユーザーが安心してサイトを利用できるようにするためにも、今やサイトのSSL/TLS対応は必須です。

逆にまだ対応していない企業は、ユーザーからの信頼を失いかねません。

SSL/TLSの確認方法

自社のサイトがSSL/TLS対応ができているかどうかはツールを使って確認することができます。

SSLサーバ証明書 導入サポートツール
サイバートラスト社が提供しているSSL/TLS確認ツールです。
画面中央部にある入力欄に「こちらへ確認を行うFQDNを入力してください」にFQDNを入力して、「設定を確認する」をクリックしてください。

FQDN(Fully Qualified Domain Name)とは、ホスト名とドメイン名をつなげた文字列のことで、ネット上の特定のコンピュータまたはサーバのことを指します。

例えば、URLが「https://sorairu.co.jp/blog/」ならば、「sorairu.co.jp」の部分を入力すればOKです。

設定対応が正しく行われていないと、赤字で表示されるため、その場合は確認をしてSSL/TLSの対応を行いましょう。

SSL/TLSには3つの種類がある

SSL/TLSには3つの種類があり、それぞれ個人で使えるもの、企業しか使えないものなど特徴が異なります。
認証を受けるまでの手順や難易度も異なるので、自社のサイトにあったものを選ぶのが良いでしょう。

ドメイン(DV)認証SSL(Domain Validation)

比較的簡単に手続きできるのがドメイン認証です。

また、個人でも取得ができるうえに、サイト所有者の実在性チェックもサイト上で行えます。発行コストも安くすみ、無料のパッケージもあるのでどなたでも利用しやすいドメイン認証です。

■利用サイトイメージ
情報を入力させないLPだけのサイト
など

組織(OV)認証SSL(Organization Validation)

組織認証は、企業認証とも呼ばれており、個人では取得ができません。

組織認証を取得するには、第三者データーベースで組織の法的な実在性を確認するほか、なりすましを防ぐために電話をかけて確認をするなど取得手続きは厳格です。

■利用サイトイメージ
企業や各種機関などの公式サイト
資料請求、問い合わせフォームなどをもつサイト
会員登録を行う各種サイト
など

EV SSL(Extended Validation Certificate)

証明書の手続きで最も厳格なのがEV SSLです。

組織認証での確認内容のほかに、組織の所在地や証明者・承認者の実在確認など、多くの書類の提出も必要になり、時間もかかります。
しかし、この認証を取得できると、サイトのアドレスバーにある鍵マークをクリックすると、サイトの運営組織名が表示されるため、高い信頼性を得られます。

■利用サイトイメージ
カード決済などをおこなうECサイト
銀行サイト
など

SSL/TLSを導入するための対応方法

SSL/TLSを導入するための対応手方法は以下のながれとなります。
ながれはシンプルですが、いざ対応しようと思うと意外とやることは多く面倒ではあります。

導入のながれ

1.CSR(Certificate Signing Request)を作成する
CSRとは、サーバ上で作成するSSLサーバ証明書を申し込むための申請書です。

2.証明書発行をおこなう会社のサイトから申し込みをする
発行を行う会社はSymantec(シマンテック)・GlobalSign(グローバルサイン)・GeoTrust(ジオトラスト)などいろいろとあるので自社サイトに適したプランのあるサービスから選ぶと良いでしょう。

3.申し込みに必要な書類の準備と送付
印鑑証明書、企業実印済みの申請書、登記簿謄本、承認メール受信用アドレスなど、選ぶ証明書にあわせて必要なものが異なるので、サービス会社に確認しましょう。

4.SSLサーバ証明書の発行
認証局の審査がおこなわれたのち、証明書が発行されます。

5.サーバへインストールして完了
証明書をダウンロードし、サーバへ保存→インストールまでおこなって完了です。

SSL/TLSを対応する際の注意点

SSL/TLS対応を行った際に、ついつい忘れてしまいがちなことがあるので、最後にご紹介します。

1.サイトURLが変更になる
URLが「http://」から「https://」に変わるため、名刺やパンフレットといった各種媒体などにURLを記載している場合は変更が必要です。
また、変更後も「http://」のURLでアクセスしてくる人は大勢いるので、http://にアクセスしてもリダイレクト設定を行い、https://へ引き継がれるようにしましょう。

2.SSL証明書にも更新期日がある
SSL証明書は一度対応したら終わりではありません。
証明書には期限があるため、忘れないように更新手続きをとりましょう。更新期限はプランにより異なるので、導入時にあわせて確認をしておきましょう。

3.外部サイトの読み込みをおこなっている箇所がある場合は確認が必要
自社サイトはhttps対応をしたのに、例えば動画サイトや他社サイトの読み込み表示をおこなっていて、そのサイトがSSL/TLS対応を行っていない場合、Chromeなどのブラウザ側で「安全ではないWebサイト」と判断して、表示をブロックしてしまう場合があります。
いずれにせよSSL/TLS対応がなされていないサイトを読み込むのは信頼度を損ねる可能性もあるので、対応を止めるか別のサイトに変更するなど見直した方がよいでしょう。

SSL/TLS対応とは?仕組みや対応方法をわかりやすく解説まとめ

SSL/TLS対応とは?仕組みや対応方法について解説してきましたが、いかがでしたでしょうか。

今や個人サイトであっても企業サイトであっても、SSL/TLS対応は必須といえます。
また、この対応をすることにより、検索順位も優遇されるので対応しないという選択はないでしょう。

ただ、対応はやや複雑で面倒ではあります。
ソライルではSSL/TLS対応の手続きも代わりにお手伝いすることが可能です。
ご希望があればぜひ一度ご相談ください。

お問合せ