ウェブサイトの管理者であればSSLについてどういうものなのか、なぜ必要なのかについては知っておく必要があります。

今回「SSL」についてその必要性と導入方法について解説します。

 

SSLとは？

 

SSLはブラウザでアクセスするWebサイトと閲覧しているパソコン間の通信を暗号化するための仕組みです。

 

インターネット通信の仕組みでは、ブラウザで閲覧しているサイトへの投稿内容や、ショッピングサイトで入力するクレジットカード番号やパスワードなどは悪意を持った第三者が盗み見ることが可能です。

 

SSLはこれらのクレジットカード番号やパスワードといったあなたのパソコンから送り出される重要な秘密情報を、第三者が傍受しても解読不可能なように暗号化してから目的のWebサイトに送り出す安全な通信手段として利用されています。

 

ホームページやWebサイトにアクセスしている際にhttpsから始まるURLになっていることがありませんか？

これらはSSLで暗号化を行ってサイトと通信していることを示してます。

 

SSLはなぜ必要か

 

上記のようにSSLは他者に知られたくないクレジットカードや個人情報などを扱うショッピングサイトやWebサービスで利用されています。

 

従来はこういった機密性の高いサイトへの通信はSSLを使用してhttpsから始まるURLで、情報送信が発生しないサイトではhttpで始まるURLでアクセスするという住み分けが一般的でした。

 

インターネットが広く普及したことにより、様々なサービスがインターネット上で展開されており、これらを狙ったサイバー攻撃も年々増加してきています。

 

SSL化はWebサイトのセキュリティを高めるために導入するべき対策方法となっており、近年では機密情報の取り扱いの有無に関係なくWebサイトへは常時SSLで暗号化された通信でアクセスすることがもはや当たり前となりつつあります。

 

あなたが普段よくアクセスしているWebサイト、Webサービスも、そのほとんどがhttpsから始まるURLとなっているはずです。

 

GoogleもSSL化を推奨

 

また、検索エンジンのGoogleは2014年から「すべてのサイトがSSLで暗号化を行って安全に通信を行うこと（常時SSL化）」を推奨しています。

 

Googleが提供しているブラウザ「Chorme」では対象のWebサイトがSSL化されているかどうかを判別し、

httpsからURLが始まるSSLで暗号化通信で保護されたWebサイトを「保護された」

httpからURLが始まる通常のWebサイトを「保護されていない」と識別して表示されてしまいます。

 

またiPhone / iPadの標準ブラウザー「Safari」でも同様の警告表示が始まっており

httpsから始まらないWebサイトは「安全ではありません」といった表示がされてしまいます。

 

これらはWebサイトとの通信の保護に対する評価の話でありWebサイト自体が危険という評価ではないのですが、

 

例えばあなたの会社のホームページにアクセスした際にこういった警告が出てしまうと訪問者に非常に悪い印象を与えてしまう可能性があります。

 

SSLの導入方法・費用

 

Webサイトへの訪問者に悪い印象を与えないためにも、まだSSLを導入していないサイトにはSSLを導入し、httpsで保護された安心できるWebサイトにすることをおすすめします。

 

具体的な手続きや設定方法、費用等はご利用中のサーバの種類により異なりますが、SSLの導入のための主な手順は以下の通りです。

 

レンタルサーバの場合には必要な手順は申し込みのみで、あとの設定作業などはすべてレンタルサーバの運営元がやってくれる場合も多いです。

 

①認証局とSSLサーバ証明書を選ぶ

 

まずはSSL暗号化で使用するためのSSLサーバ証明書の発行元となる認証局を選びます。

SSLサーバ証明書は、Webサイトの通信元が自ら提示する身分証明書のようなものです。

SSLサーバ証明書に信頼性を持たせるためには、信頼のおける認証局から発行された電子証明書を利用するのが一般的で、

• ジオトラスト
• グローバルサイン
• サイバートラスト
• デジサート
• Comodo

セコムといった公開鍵証明書の発行を専門にする認証局へ電子証明書の発行を依頼します。

 

発行するSSLサーバ証明書には、認証レベルが簡易な順に

• ドメイン認証（DV: Domain Validation）型SSLサーバ証明書
• 企業認証（OV: Organization Validation）型SSLサーバ証明書
• EV（Extended Validation） SSL証明書

など複数の種類があるため用途に応じたものを選び申し込みを行いましょう。

 

②Webサーバの設定・インストール

 

続いてSSL化を行うWebサーバの設定を行います。

 

＜設定１＞

まずSSL証明書を利用したいWEBサーバで、そのWEBサーバの身分証明書となるCSRと秘密鍵と呼ばれる電子証明書の発行をし、①で選んだ認証局に送ります。

 

＜設定２＞

認証局はWEBサーバと申請元となるあなたの社名や住所などの情報を組み合わせ、WEBサーバがあなたの会社が提供する正当なWebサービスであることを認証し、サーバ証明書と呼ばれる電子証明書を発行します。

 

＜設定３＞

最後に認証局から発行された電子証明書をWebサービスが稼働しているサーバにインストールします。

 

※CSR,秘密鍵の発行、サーバ証明書のインストールについてはサーバOSの種類や、apache nginxといったミドルウェアごとに異なるためここでは詳細は省略します。

またアクセスユーザに対して信頼されたサイトであるとアピールできるサイトシールをWebコンテンツに埋め込むこともできます。

 

③新しいURLを利用者へ案内する

 

以上でWebサイトのSSL暗号化が行われますが、注意していただきたいのが、SSLで暗号化した通信が行われるのは、訪問者がURLがhttpsで始まるURLでアクセスした場合のみであり、WebサイトのSSL化を行っても訪問者が従来通りhttpから始まるURLでアクセスした場合には暗号化通信が適用されません。

 

このため、サーバ側の.htaccessという機能を使って、http://でアクセスされた場合には自動でhttps:// へリダイレクトするなどの仕組みを組み込むことが重要です。

 

Google Analytics（グーグルアナリティクス）やGoogle Search Console（グーグルサーチコンソール）でアクセス解析をしている場合は、URLがhttpからhttpsに変わるので設定変更が必要なため、確認を行いましょう。

 

また、事前に利用者向けにホームページURLがhttpsに変更なった旨のお知らせを出す、名刺や送り状などの印刷物に記載されたURLをhttpsに直すなどの作業も忘れてはいけません。