最近Webサイトでよく言われるセキュリティ対策で、SSLがあります。
「とりあえず入れとけばいいんじゃないの?」「よく分からないしコストがかかるなら要らないよ」「高い方が暗号が強固なの?」…
SSLって何でしょう。どんな時に必要なものなのでしょうか。
SSLとは
(1)暗号化して情報保護
インターネットでの情報のやり取りを暗号化して、情報の盗聴や改ざんのリスクを軽減します。
(2)サイトの身元確認!なりすましやフィッシング詐欺対策の目安にする
SSL証明書は、自分の代わりに「サイトを公開している企業の身元確認を、SSL提供企業が行った」という証明です。
その証明書をユーザ側で確認できるので、なりすましやフィッシング詐欺ではないか、ある程度判断する目安になります。
ただし、認証レベルは3段階あり、ほぼ審査がないものから、書類審査が必要なものまであります。
SSLが入っているかどうかを確認する方法
SSLが導入されている場合、ブラウザのアドレス欄の右端か左端のどちらかに、鍵マークが付いています。
また、URLの頭は、SSLなしだとhttpですが、SSLありはhttpsになります。
IE
Edge
Chrome
証明書の内容を確認する方法
ブラウザから証明書の内容を確認する事もできます。(一部ブラウザを除く)
認証レベルが高いものは、サイトにSSLを導入している企業名まで表示されています。
Internet Explorer 11
1.アドレスバーにある「鍵マーク」をクリック
2.「証明書の表示」をクリック
3.証明書情報が表示されます。
4.タブで切り替えて情報を見る事ができます。
(Google様のサイトです)
Chrome
1.Webページ上で右クリック
2.右側のナビゲーションから「Security」を選択
3.「View certificate」をクリック
4.証明書情報が表示されます。
(さくらインターネット様のサイトです)
Firefox
ブラウザのアドレス欄の左にある鍵マークから表示できます。
(右側の「>」をクリック→詳細を表示)
Edge
詳細は確認できない様です。
ブラウザのアドレス欄の左にある鍵マークの色での判断しかありません。
・鍵の色がグレー → 認証レベル1か2のSSLが入っている
・鍵の色が緑 → 認証レベル3のSSLが入っている
SSLのバージョンを確認する方法
SSLの暗号化の形のバージョンが古いと脆弱性があります。
確認するには、証明書情報を表示して、SSLまたはTLSの数値を見ます。
(IE、Firefoxでは表示ができますが、Edge、Chromeでは表示できません。)
現在最新はTLS1.2ということなので、弊社は最新バージョンになっていますね。
(ちなみに、SSLがバージョンアップしてTLSになったのに、名前が浸透しているため、今でもSSLまたはSSL/TLSと呼ばれているそうです。(TLSが使われているのにSSL…))
SSLの種類、選び方
情報の暗号化は改ざん対策にもなるため、ほとんどのサイトはSSL化はした方が良いと言われています。
(絶対に安全というわけではありません。また運用上導入しづらい場合もあります。)
認証レベルについては、
企業の場合は、なりすましでの被害の危険性が極めて少ない場合はドメイン認証、もう少し信頼度を上げたいなら企業認証とするなど、サイトの目的や予算に合わせて選択をします。
個人の方は、ドメイン認証(DV)のみ利用可能です。
(導入できるSSLサービスはサーバの仕様によります。)
| 認証の種類 | ドメイン認証(DV) (無料) |
ドメイン認証(DV) (有料) |
企業認証(OV) | EV認証(EV) |
|---|---|---|---|---|
| 暗号化の強度 | 同じ※ | |||
| 認証レベル | ★ | ★ | ★★ | ★★★ |
| 証明書 発行スピード |
即日〜 | 即日〜数日程度 | 数日程度 | 数日〜2週間程度 |
| 審査 | ドメインの使用権のみ | ドメインの使用権のみ | 電話など | 電話、書類提出など厳重 |
| 利用料(1年) (証明書インストールなどの設定費を除く) |
0円 | 千円台〜数万円 | 数万円〜十数万円 | 数万円〜二十万円弱 |
| メリット・ デメリット |
企業の確認などがないため導入しやすいが、なりすまし対策にはなりにくい。 | 企業の確認などがないため導入しやすいが、なりすまし対策にはなりにくい。 | 簡易な調査があるので、サイトの信頼性が上がる。 (個人利用不可) |
より厳重な審査があり、サイトの信頼性が更に上がる。 (個人利用不可) |
| 利用シーン | 個人サイトや、発行を急いでいる | 個人サイトや、発行を急いでいる | ECサイトなど、クレジットカード情報を取り扱う場合(フィッシングサイト対策) | 企業の実在性を証明し、信頼性のアピールがしたい |
| アドレスバー 表示見本 (Chrome) |
– |
|
|
左側に企業名が表示されています。 |
| SSL商品名の一例 (ブランド名) |
Let’s Encrypt(非営利団体のISRG)ほか | ラピッドSSL(RapidSSL)、クイック認証SSL(GlobalSign)ほか | SureServer(cybertrust)、セキュア・サーバID(Symantec)、パスポート for Web SR3.0(SRCOM)ほか | トゥルービジネスID with EV(GeoTrust)、セキュア・サーバID EV(Symantec)ほか |
| 無料と有料の違い | 性能が不足しているなど、信頼性がないものもある。 無償なので、サービス提供が終了することもある。 |
提供企業が大企業である場合が多いので、信頼性が高い。 有料なのでサービス終了のリスクが少ない。 |
||
ポイント
- 暗号化の強度の違いはありません。(無料も有料も違いはないそうです。)
※ただし、古いバージョンの場合、強度が低いものもあるので注意。(新しく取得する場合は脆弱性の見つかっている古いバージョンは利用できません。) - 認証レベルがあり、レベルが上がるほど、審査が厳重になり、企業の存在の信頼性が上がります。
- 同じ認証レベルでも商品によってサービス内容は様々です。(被害があった場合の補償のありなしなど)
さいごに
データと生活が密接に関係する社会となり、Webサイトのセキュリティ対策への意識も高まっています。
ブラウザ自体も仕様が変わってきており、SSLを利用していないサイトや古いSSLを使用しているサイトは閲覧時に警告を表示する事が多くなってきています。
SSLを賢く選んで、安心して利用できるWebサイトにしたいですね。
参考とさせていただいたサイト
