こんにちは!当コラム担当の高原です!専業アフィリエイター歴8年で、WEBメディア運営会社を経営しています。
Twitter(@Koshiro_Taka)でも役立つ情報をつぶやきますので、よかったらぜひフォローしてくださいね^^
Webサイトを運営する上で、SSL対応は最近ではなくてはならないものになってきました。
2014年8月にGoogleから『全世界のWebサイトのSSL対応すべき』とアナウンスが発表された時に、かなりの衝撃が走った人も多いのではないでしょうか。
Googleのアナウンスが出て久しいのですが、今でもSSL対応していないサイトを見ることがあります。
確かにSSL対応をすることは必須ではありませんが、ブラウザ上に『保護されていない通信』と表示されるのは頂けません。
そして、警告表示の出ているサイトからは一刻も早く離脱したいという考えに至ります。
そこで今回はWebサイトのSSL対応について、
- SSLは何を保護するものなのか
- 具体的な導入方法
といった基礎から一緒に勉強していきましょう。
そもそもSSLって何?何を保護する為のもの?
そもそもSSLとは何のことなのでしょうか。そして、よく見る「SSL/TLS」の表記も気になる方もおられるかもしれません。
実は、SSLとSSL/TLSは同じものなのです。
以前はSSL(Secure Sockets Layer)と呼んでいて、ある程度認知されていました。そして、バージョンアップにより、現在はTLS(Transport Layer Security)という名称に変更。
しかし、TLSよりもSSLという呼び方の方が認知度が高いので、SSLの表記を残し、現在はとSSL/TLSという表記になっています。
具体的には、SSLは通信を暗号化する仕組みのことです。
つまり、SSL対応のWebサイトでは、サイトを閲覧するときやフォームにデータを入力する場合に、外部からデータの覗き見ができないのです。
では、具体的に例を挙げて考えてみましょう。SSL対応していないWebサイトはどのように危険なのでしょうか。
SSL対応していないサイトはどのように危険?
例えば、ネットショップでダイエットサプリを購入する場合、まずはそのECショップの会員になる必要があります。
会員になるにあたり、住所や名前、電話番号やメールアドレスなどの多くの個人情報を入力しなければなりません。
ECショップに個人情報を登録することで、サイトへのログインができるようになります。
この時、ブラウザのクッキーが情報を記憶してくれるので、次回からはIDやパスワードの入力をしなくても簡単にログイン可能。とっても便利な機能です。
そして、実際に商品を購入する時には、クレジットカードの番号を入力。無事に購入手続きをすることができました。
ここで何も問題が無ければ良いのですが、SSL対応できていないサイトでの買い物の場合、外部から個人情報を読まれる可能性があるのです。
実は、便利な機能だと思っていたクッキーの情報さえも簡単に盗むことができます。
上記のような状況で、もしも個人情報を盗まれた場合はどのようなことが起こるでしょうか。
可能性として考えられる被害は次の5つ。
- 個人情報の流出
- スパムメールや架空請求が急増
- カード被害
- 営業電話が急増
- フィッシング詐欺サイトの運営者(なりすまし)として登録される
- 企業の場合はイメージ・信頼性が著しく悪化
また、あなたがサイトオーナーならWebサイトデータの改ざんをされる可能性もあります。
個人情報が読み取られてしまった時点で非常に恐ろしいことが起こりそうな予感がしますが、その時点ではわかりません。発覚するのはその数日後というところでしょう。
上記のようなことが起こり始めたら、SSL対応していないサイトを閲覧した時に個人情報を盗まれていた可能性があります。
特に危険なのは無料WiFiを利用した場合です。
カフェなどで無料WiFiを利用する時は要注意です。ネットショッピングなどは控えた方が良いかもしれません。
では、SSL対応はどのような技術なのでしょうか。
SSLの仕組みについて見ていきましょう。
SSL対応サイトの仕組み!2つの鍵で複雑に暗号化!
SSL対応しているサイトは対になる2つの鍵によって暗号化通信を行っています。2つの鍵とは、
- 共通鍵
- 公開鍵
のこと。
暗号化の基本的な手順は次の通りです。
- クライアントからWebサーバーに接続要求
- サーバーから公開鍵付き証明書を送付
- クライアントが証明書を検証
- クライアントが共通鍵を生成
- クライアントからWebサーバーに暗号化した共通鍵を送付
- クライアントとWebサーバー間で暗号化通信を行う
実際はもう少し複雑なことをしていますが、基本的な知識としては上記のような暗号化がSSLだと覚えておけば問題無いでしょう。
ただし、SSL対応と言ってもいくつかの種類があります。基本的なところだけ覚えておきましょう。
・2つの鍵によって暗号化通信を行う
SSL対応には種類があった!
まず、個人レベルでWebサイトをSSL対応するには次の2つの方法があります。
- 共用SSL
- 独自SSL
そして、企業レベルでSSL対応をするには、SSLサーバー証明書の種類を選ぶ必要があります。
SSLサーバー証明書の種類としては、次の3つがあります。
- ドメイン認証型
- 企業認証型
- EVタイプ
まず、共用SSLと独自SSLから詳しく見ていきましょう。
共用SSLと独自SSL!個人レベルでSSL対応するならどっち?
共用SSLと独自SSLの違いは次の通りです。
- 共用SSL:サーバー会社のSSL証明書を複数のユーザーが共有
- 独自SSL:ユーザーが独自で申請し、証明書を取得する
どちらにもメリット・デメリットがあります。
独自SSLの場合は、Webサイトとして安全性・信頼性が高いのですが、運用コストが高いデメリットがあります。
逆に共用SSLは低コスト(運営会社によっては無料)で利用できますが、サイト自体の信頼性はあまりアピールできないデメリットがあります。
ECサイトなどで個人情報を扱う場合には独自SSL対応が好ましいのですが、そうでない場合は共用SSL対応で問題ないでしょう。
では次にSSLサーバー証明書の種類について見ていきましょう。
個人でSSL対応する2つの方法
・共用SSL:低コスト
・独自SSL:安全性・信頼性が高い
SSLサーバー証明書の種類!信頼性が高いのはEV認証型!
前述したように、SSLサーバー証明書には3種類あります。それぞれの特長について見ていきましょう。
ドメイン認証型
ドメイン認証型(DV)の特長は以下の通りです。
- 誰でも取得できる
- 価格が安い・無料のものもある
- 証明方法が非常に簡単
- 証明書の発行が早い
ドメイン認証型のSSLの場合は申請すれば誰でも取得でき、信頼性はそれ程高くない認識となります。
企業認証型(OV)
企業認証型(OV)の特長は以下の通りです。
- 企業・団体が実在することを認証できる
- 各種書類審査や電話確認が必要
- 信頼性が高い
- 費用が高い
- 証明書の発行に時間が掛かる
企業認証型はドメイン認証型よりも信頼性が高く、クレジット決済を使用するECサイトなどに最適な証明書となります。
EVタイプ
EVタイプの特長は以下の通りです。
- 最も厳格な審査
- 各種書類審査や電話確認が必要
- 会社の登記事項の確認が必要
- 申請者の在籍確認が必要
- 信頼性が非常に高い
- 費用が非常に高い
- 証明書の発行に時間が掛かる
EVタイプのSSL証明書は最も厳格な証明書となります。
ですから、知名度のあるブランドサイトや銀行サイトなどに最適です。
また、ブラウザのアドレスバーの部分に利用者の名前が表示されるので、信頼性をアピールする点においては最も効果的と言えます。
ところで、SSL対応することで信頼性をアピールすることができるのは確かですが、SSL対応はSEOにおいても意味があります。どういうことでしょうか?
企業レベルでSSL対応するには、
SSLサーバー証明書の種類を選ぶ必要がある。
最も厳格な証明書のEV認証型が信頼性が高い。
SSL対応はSEOでも重要!手遅れになる前に・・・
冒頭でも述べましたが、Googleは全世界のWebサイトのSSL化を促進しています。
その一環として、SSL化をランキングシグナルとして採用すると2014年8月17日にウェブマスター向け公式ブログで発表しています。
ただし、SSL対応しているからと言って検索順位が劇的に上がることはありません。
今やSSL対応が当たり前の状況なので、逆にSSL対応していないサイトは上位表示できない認識の方が正しいでしょう。
また、SEOの指標としてサイトの滞在時間が重要になります。
もし、あなたのサイトがSSL対応していないサイトだったら訪問者はどう思うでしょうか?
「保護されていない通信」などと表示があればなるべく早くそのサイトを閉じたくなるのが人間の心理です。
つまり、SSL対応していないということはサイト滞在時間が短くなる可能性が高く、SEO的にも良くない結果となります。
更に、SSL対応していないサイトでもそれ程気にしない場合でも、やはりサイトからの問い合わせの際はかなりマイナス評価。
元々個人情報を入力することに抵抗を持っている人は多いので、明らかな機会の損失になります。
・Googleは全世界のWebサイトのSSL化を促進
・今やSSL対応が当たり前の状況になっている
・SSL対応済のサイトは安全性、SEOでも有利
まとめ
今回はWebサイトのSSL対応について取り上げてみました。
SSL対応はWebサイトを安全に利用する為の暗号化技術です。
閲覧しているWebサイトがSSL対応しているかどうかはURLがhttpsから始まっているかどうかで判断ができます。
また、それだけではなくブラウザのアドレスバーに鍵のマークが表示されるので、その辺りも確認してみてください。
SSL対応済みのWebサイトは安全性はもちろんのこと、SEOでも有利です。
GoogleのランキングにSSL対応がランキングシグナルとして採用されていますが、ユーザー心理としてもSSL対応が大きく影響を与えるでしょう。
今までは個人情報やカード決済の必要なECサイトなどではSSL化が必須という認識だったかもしれません。
しかし、現在はGoogleが想定していたように全てのWebサイトがSSL対応必須の状況になりつつあります。
ですから、もしあなたの運営しているWebサイトがまだSSL対応でないなら、今すぐSSL対応するべきでしょう。
そして、これからWebサイトを作成する場合においてもSSL対応のサイトを作りましょう。
SSL対応ができるか、その手間がどれだけかかるかは、レンタルサーバーによって大きく変わります。
最も重要なコンテンツ制作に集中できるよう、SSL対応が簡単に出来るサーバーを選びましょう。
サーバーの失敗しない選び方についてはコチラの記事で解説しているので、必ず確認してから選んで下さいね。
【レンタルサーバーならmixhostがオススメ!】
mixhostは同価格帯で最もハイスペックで、自身をもってご紹介できる高品質サーバーです。
低料金で安定・高速通信が可能な秘密をぜひ確認してみて下さい!