SSLとは?【Web担当者が知っておきたい知識】

クラウドサーカス編集部
公開日:2019/07/25 更新日:2022/09/09
SSLとは?【Web担当者が知っておきたい知識】

以前の記事「常時SSL化が与える自社Webサイトへの影響とは?でご紹介したように、Web業界では「SSL」という単語が当たり前になってきています。

しかし、Web担当になったばかりの方であれば、「そもそもSSLって何?」と感じる方もいらっしゃるかもしれません。今回の記事では、ユーザーにWebサイトを安全に利用してもらうための「SSL」について、詳しくご紹介します。

SSLとは?TLSとの違いは?

「SSL」とは、英語のSecure Sockets Layerの略称で、インターネット上で通信を暗号化する技術を指します。 一般的には、SSLと言われることが多いですが、SSL証明書を発行しているサイトやレンタルサーバでは「SSL/TLS」と記載されることもあります。TLSとは、Transport Layer Securityの略です。

SSLとTLSは、表記が異なるだけで同じ機能を指します。
SSLは1.0から3.0までバージョンアップを行ったのち、新しい規格としてTLS1.0という名称に変更されました。そのため、現在SSLと呼ばれている機能は正しくはTLSのことを指します。しかし、SSLの名称がまだ一般に広く認知されているため、SSLと呼び続けられたり、SSL/TLSと併記されたりしています。

SSLの役割は、インターネットを通して送信される情報を、悪意を持った第三者からの攻撃や改ざんから守ることです。2018年のGoogleのアップデートより、SSL化されていないホームページにはブラウザに「保護されていません」などの警告が表示されるようになっており、Web業界では常時SSLへの対応が必須となっています。

SSL証明書の種類

それでは次に、SSL化に必要な「SSL証明書」の種類を見ていきましょう。
SSLをWebサイトに適用するには、サーバへSSL証明書を設定する必要があります。しかし、どの種類のSSL証明書を設置するかは、Webサイト運営者が求める身元保証のレベル、つまり目的に応じたものを選択する必要があります。導入コストや必要書類などが異なるため、必要に応じて取得するようにしましょう。

ドメイン認証SSL(認証レベル1)

3つの認証レベルのなかで、もっとも手軽な認証方式がドメイン認証(DV:Domain Validation)です。 証明書に記載されているドメインの使用権を、SSLサーバ証明書の所有者が所有していることを証明するものです。証明確認はメールのやりとりで済むため、証明書の発行が早くできます。また、他の認証レベルの証明書と比較すると価格が安いことも特長です。

※情報参考元:SAKURA Internet

企業認証SSL(認証レベル2)

企業認証(OV:Organization Validation)と呼ばれ、法人サイトなどで一般的に使われている認証方式。法的に実在している企業・団体が運営しているサイトであることを証明するものです。 企業認証を取得するには各種書類の審査および申請者への電話確認が必要になるため、ドメイン認証と比べ、信頼性が高いことを証明することができます。

※情報参考元:SAKURA Internet

EV認証SSL(認証レベル3)

もっとも厳格な認証方式がEV認証(EV:Extended Validation)です。 企業認証の審査に加え、各種書類および第三者機関のデータベース等により、申請組織が法的・物理的に実在しているかを確認するとともに、申請者の在籍確認と電話確認を行います。 審査が厳格であるため、証明書の発行まで時間はかかりますが、安全性をアピールすることができます。

※情報参考元:SAKURA Internet

一般的に、ドメイン認証SSLは個人でブログを運営する人やフリーランスなど、法的に実在している企業・団体ではない場合に利用されることが多いです。企業認証SSLは、ブラウザ上からSSLの詳細を確認した際に、組織名・部署名を確認できるため、信頼性が高くなります。審査に必要な情報が不足している場合は時間がかかるため、OV認証でSSL証明書の取得を予定されている方は、時間に余裕をもって進めることが大切です。

おまけ:無料SSLサーバ証明書(DV認証)

SSL証明書には無料のものもあります。よく知られているものは「Let's Encrypt」という証明書で、認証方式はDV認証(ドメイン認証)のため認証レベルは1です。セキュリティ強度は、無料だから脆弱というわけではありませんが、有効期間(90日間)が限られています。

スクリプトを設定することによって自動で更新することもできますが、スクリプトの設置が難しい場合は、手動で約3ヶ月に1回の更新が必要となります。他にも、サポートが受けられない点や、無料で取得できるためフィッシングサイトなどで悪用されることが多いなどデメリットもあります。目的に応じて選択することが大切です。

SSL化のメリット・デメリット

では、常時SSL化をすることで、具体的にどのようなメリットがあるのでしょうか?デメリットと合わせて、ご紹介します。

SSL化のメリット

セキュリティの向上と信頼性

常時SSL化をすることの一番のメリットは、悪意あるユーザーからの盗聴や攻撃に対抗できることです。 無線LAN通信(Wi-Fi)で使用される暗号化プロトコル「WPA2」に暗号を解読される脆弱性が確認されましたが、SSL/TLSによって暗号化されていれば、WPA2を解読されても安全です。

HTTP/2で表示が早くなる

「HTTP/1.1」や「HTTP/2」というのは、WebページのデータをWebサーバから取得するための技術のひとつです。これまでのHTTP/1.1では、複数のリクエストに対して、リクエストをされた順にレスポンスを返すようになっていましたが、HTTP/2は同時に並行して複数のリクエスト、レスポンスを処理できるようになったため、ブラウザでの表示速度が早くなります。

この新しい技術であるHTTP/2での通信を行うためには、サーバとブラウザのすべての通信をSSL/TLSにする必要があります。つまりSSL化し、 HTTP/2 に対応することで、表示速度が速くなる可能性があるのです。

なお、下記のサイトでは、HTTPS(常時SSL化)することで、どれだけ処理速度が変化するのかを分かりやすく伝えています。ページ右上の「HTTP/HTTPS」を切り替えて試してみてください。

HTTP VS HTTPS Test

サイトのSEO

検索エンジンの最大手であるGoogleは、2014年8月に、WebサイトがHTTPS(常時SSL)かどうかを検索順位の決定要因にすることを発表し、すべてのウェブサイトに対してHTTPからHTTPSへの切り替えを推奨しました。また2015年12月には、常時SSL化されたウェブサイトでHTTPページとHTTPSページが同じコンテンツであれば、HTTPSページを優先的にインデックスするというアナウンスを行いました。

SSL化のデメリット

手間が掛かる

常時SSL化を実現するためには、設置前・設置後に手続きや設定作業が必要です。

  • SSL証明書を用意
  • SSL証明書をサーバにインストール
  • Search Consoleを再登録
  • http参照のリソースを修正

1度設定してしまえば、数カ月や数年度ごとにSSL証明書の更新が必要な程度で、大きな手間は初回だけです。しかし、Web制作にあまり詳しくない方や、担当者が変わった場合などは、手続きや引き継ぎに時間がかかる場合があります。

費用が掛かる

SSL証明書の種類でご紹介した通り、企業がSSL証明書を取得する場合は、有料の証明書を購入することが多いでしょう。

DV認証であれば数千円程度のものもありますが、OV認証であれば数万円からの料金設定が多いです。また、運営しているサイトの数だけ必要な証明書を購入する必要があるため、複数サイトを運営している企業はそれなりの費用がかかります。

SNSで獲得したカウントが消える

SNSのFacebook、Twitter、はてなのカウントがリセットされます。

理由は単純で、URLが変わるからです。Wordpressの場合は、プラグインを使用することによって引き継ぐことが可能ですが、それ以外は基本的に難しいため、Webサイトと合わせてSNSの運用も行う場合には、Webサイト公開時や公開直後にSSL化するように制作会社に相談するのが望ましいです。

SSL化する方法 

最後に「SSL化するためにはどうしたらいいのか?」、そのおおまかな手順を確認しておきましょう。

管理画面から操作もしくはホスティング業者に連絡

SSL化するにあたり、まずは使用しているWebサーバがhttpsに対応していることを確認する必要があります。現在では、ほとんどのレンタルサーバがSSL化に対応していますが、まれに安価なサーバや古いサーバでは対応していないことがあったようですので、サーバ移行に覚えがなく、長く同じサーバを使用し続けている場合は、サーバの乗り換えをする必要が発生するかもしれません。

また、SSL対応サーバでもサーバによってDVなどの指定のSSL証明書のみの設置で、OVやEVなどの設置が難しいプランなどもあるので、目的にあっているかを確認します。

独自SSLに対応していることを確認できたら、SSL証明書を発行してもらいます。SSL証明書の発行には、無料サービスと有料サービスがあります。

SSL証明書の発行

無料サービスを使う

前述したように、無料でSSL証明書を発行してもらえるサービスでよく知られているのが「Let's Encrypt」です。アメリカに本拠地を置く非営利団体「電子フロンティア財団」がSSL証明書を発行してくれます。現在のレンタルサーバ等では「Let's Encrypt」を無料証明書として設置するサービスが多く、無料でひとまず設置するのであれば、大抵のレンタルサーバでは設定が可能となります。有効期限が90日のため、証明書の更新に注意が必要ですが、自動で更新されることが多いです。

有料サービスを使う

有料サービスで代表的なのは「Symantec」「グローバルサイン」「GeoTrust」「SECOM」です。

有料サービスの場合、最長2年の有効期限で証明書を発行してもらえます。

どの企業の証明書を使用するかは、金額や認証レベルによっての判断となりますが、決済機能がなければ基本的には認証レベルの違いは少なく(OVは企業の実在証明の有無ながある)と、金額と実績などの信頼性での選択となる場合が多いです。

SSL対応が含まれたCMSサービスを使う

CMSサービスでSSL対応が含まれているものを選択するという方法もあります。例えば、Web担当者の入れ替わりが多い、他の業務と兼任しているなどで、自社で申請や管理していくのが不安な方におすすめです。

なお、ウェブタメ!運営会社が提供する独自CMS「Blue Monkey」や「RCMS」などには、SSL対応も含まれています。

SSL証明書をサーバに設定する

証明書の発行ができたら、サーバに証明書をインストールし、設定していきます。サーバの設定方法は、ホスティング業者によってさまざまなので、お使いのサーバのマニュアルに従ってください。

ホスティング業者によっては、自社のサーバのコントロールパネルから、指定の独自SSL証明書の申請や設定が簡単にできるようなプランがある場合もあります。

リンクやパスの修整・リダイレクト設定

SSL化をすると、URLが[http]から[https]に変わります。ソースコード中に、絶対パスで記述している箇所についてはすべて[https]へ変更する必要があります。また、外部サイトからリンクされている可能性のある[http]のページを[https]に強制的にリダイレクトする設定をする必要があります。

閲覧者のためにSSLを進めましょう!

このようにWebサイトの常時SSL化は、一見手間とコストがかかるように見えますが、Web業界ではすでに一般化しており、Google社からも推奨されているため、その流れは止まることはないと思われます。

今はまだ対応していないというサイトでも、次第にSSL化していないサイトの方が少数派になっていきます。次にWebサイトをリニューアルする際には、どのサイトでも必ず必要になるでしょう。 ユーザーにとって安全なWebサイトを提供するために。基礎知識をおさえ、計画的にセキュリティ対策を行っていくことが大切です。