駆け出したプログラマからの調査報告 #5~SSLサーバー証明書についてweb担当者が知っておきたいこと~

プログラム

最近、来ている服で今日が何曜日かがわかるという連想配列プログラムを開発した加畑です。ちなみに今日着ている服は緑なので、木曜日です‼

先日さくらサーバーが開催している「SSLセミナー」に行き、SSLサーバー証明書についての勉強をしてきました。これからwebサイトはSSLサーバー証明書の発行が必須になる、という未来が待ち構えているかもしれませんので、ここで一度正しい理解を持つことが必要かと思い記事にしました。皆さまもぜひご覧になってください。

なぜSSLサーバー証明書が必要なのか

まずは根本の話から始めたいと思います。インターネットで情報をやりとりすることがますます増えつつある昨今ですが、ネット上のやり取りには「4大リスク」と呼ばれる重大なトラブルに直結する危険が潜んでいます。

盗聴

ネットワーク上に流れる通信中のデータやネットワークに繋がれたコンピュータのデータを不正な手段を用いて盗み取ることです。インターネットに流れる信号はデジタル信号であり、盗聴器や受信機といった専用のハードウェアを用意することなく、ネットワークに接続するだけで盗まれてしまいます。「ネットワーク盗聴」であったり「パケット・スニッフィング」と呼ばれたりもします。

改ざん

Webサイト内のコンテンツが、攻撃者によって文章や画像が変更されてしまうことです。

なりすまし

他人の名前やID・passwordを利用して、その人の振りをしてネット上で悪意ある行為をすることです。

事後否認

送信者か受信者のどちらかが、情報のやり取りを否定したり、内容が改ざんしていると主張したりすることを言います。

 

これらのリスクを避けるために、「SSLサーバー証明書」を発行してSSL暗号化通信Webサイトの実在証明をしておく必要があります。

SSLサーバー証明書の役割①~SSL暗号化通信~

SSL暗号化通信を利用すると、「盗聴」や「改ざん」されることなくデータのやり取りを行うことが可能になります。

SSLサーバー証明書の役割②~Webサイトの実在証明~

これは、WEBサイトが実在しているという事を第3者機関が証明するという事です。上記のSSL暗号化通信を行っているだけではサイトの運営者側に悪意があった場合には情報漏えいを防止することはできません。サイトの実在証明はすべてのSSLサーバー証明書に含まれているのではなく、「DV・OV・EV」と3段階ある認証レベルのうち、「OV・EV」のみに備わっている機能です。それぞれの詳細は下記に記しております。

DV(Domain Validated)

セキュリティレベル:★☆☆(低)

メールを通じて特定のドメイン名を使用する申請者の権利だけを確認します。会社情報は確認されないため、証明書内には会社の情報が表示されません。

OV(Organizatin Validation)

セキュリティレベル:★★☆(中)

指定されたドメイン名を使用する申請者の確認に加え、組織自体が存在するかどうかも確認します。認証済みの会社の情報は、Webサイト訪問者が証明書の詳細を確認する際に表示されます。

EV(Extended Validation)

セキュリティレベル:★★★(上)

最も認証レベルの厳しいタイプの証明書になります。独立機関が作成したExtended Validationの確認ガイドラインを遵守するために、発行元のCAでは、登録されている組織および組織の連絡先に関する複数の情報を取得して確認します。

EV証明書を使用すると、視覚的な表示(ブラウザに表示される緑色のバーなど)により、正しいWebサイトを閲覧しているかどうかを簡単に把握できます。Extended Validationの審査ガイドラインは、CAブラウザフォーラムによって公開されています。

企業認証をしている証明書を発行することでユーザーの方に安心して使用していただくことができ、またEVの証明書ではURLの表示エリアを変更できるため、フィッシングサイトの被害にユーザーがあってしまう心配もなくなります。

どのレベルの証明書を発行するかは、そのサイトが何を目的として運営しているかによりますので、サイト運営者はそのことをよく理解しておく必要があると思います。

 

基本的には1つのドメインにつき1枚の証明書が必要なのですが、最近では「ワイルドカード証明書」「マルチドメイン証明書」など複数のドメインに使えるタイプも登場しているようです。

ワイルドカード証明書

「○○○.test.com」や、「○○○.event.com」のように、複数のサブドメインに対応している証明書です。

マルチドメイン対応証明書

ひとつの証明書で複数ドメイン名に対応しています。

認証局の種類

SSLサーバ証明書の認証局にも様々な種類がございます。

シマンティック(旧ベリサイン)

https://www.jp.websecurity.symantec.com/

グローバルサイン

https://jp.globalsign.com/

ジオトラスト

https://www.geotrust.co.jp/

GoDaddy

https://jp.godaddy.com/

ラピッドSSL

http://www.rapid-ssl.jp/

セコムパスポート

https://www.secomtrust.net/service/pfw/pfw_service/ev.html

サイバートラスト

https://www.cybertrust.ne.jp/

アルファSSL

https://www.toritonssl.com/

コモド社

http://comodo.jp/

aossl

https://www.aossl.jp/

また、最近では「Let’s Encrypt」という無料でSSLサーバー証明書を発行できるサービスも出てきているようです。今後も需要が高まっていくため、SSL関連の情報には注意を払っておいた方がよさそうです。

広がりつつある「常時SSL化」

今まではフォームのページなど限られたページだけSSL化するという処理が一般的でしたが、最近になって「常時SSL化」というのが広がりつつあります。

今までは例えばお問い合わせフォームだけSSL化に対応しているなどの「部分SSL」をしているサイトが多かったのですが、スマートフォンやタブレットの普及によりアクセス方法が多様化したため、全てのページにSSLを実装するこことで「不正閲覧」「盗聴」「なりすまし」などの被害を避ける動きが活発化しています。

SSLサーバー証明書を発行することには、「セキュリティの向上」「企業認証される」以外にも下記のようなメリットがあります。

  • SEOの向上

グーグルは、常時SSL化することでSEOの評価として優遇するという事を、2014年8月に正式発表しております。

http://googlewebmastercentral-ja.blogspot.jp/2014/08/https-as-ranking-signal.html

  • サイトの高速表示が可能になる

常時SSL化をすることで「HHTP/2」を導入することが出来ます。詳しい説明は別のブログを書いておりますので、そちらをご覧いただければと思います。

 

逆に、SSLデメリットについては下記のようなものございます。

  • HTTPS非対応のツールや広告が非対応になる
  • 費用がかかる
  • アドセンス広告収入が低下する
  • ソーシャル系ボタンのカウントがリセットされる
  • 使っているサーバが、常時SSL化に対応しづらい場合がある
  • Google Search Consoleに再登録が必要
  • SSL対応していないファイルを読み込むと警告が出てしまうブラウザがある

これらのメリット・デメリットをよく理解したうえで導入するかどうかを検討したほうがよさそうです。

まとめ

いかがでしたでしょうか。SSLに関することでもこれだけの情報があり、まだまだ学ぶことが多いなぁ。。。というのが正直な感想です。

ここまで読んでいただきありがとうございます。こちらからは以上です。

RELATED POSTS

プログラム

MORE