SSLとは? オカンにも教えておこう!
登録日:2018-01-22
最近よく聞くSSL
SSLとは暗号化通信のことで、ホームページを運営している方は勿論、悪いホームページに騙されないようオカンにも知っておいて欲しいネットの知識です。
先に断っておきますが、オカンのために分かりやすく説明しますので、端折る部分はざっくり切ります。
※どうでもいいですが、ボクのオカンはチャリンコに乗りません。
なぜSSLが必要と言われるのか
インターネットライフを楽しんでいると、「ログイン」や「買い物カゴ」、「お問い合わせ」、「申込み」など、そのサイトに対して自分のIDやパスワード、個人情報を送信することが多々ありますね。
SSLを導入していないホームページだと、この送信した情報が通信の途中で悪人に盗聴される危険があるのです。
例えばIDやパスワード、クレジットカード番号等が盗まれたら、勝手に買い物されたり、SNSを乗っ取られたりする危険があります。昨今いっぱいニュースになってますね。
では、なぜそんな事が起こるのでしょうか。
いつもやってる「送信ボタン」の行方
SSLを導入していないホームページで送信ボタンを押すと、ざっくり以下のようなカンジでデータが飛びます。
オカンの為に説明しますが、ホームページが置いてあるコンピュータを「サーバー」と言います。コレ覚えといてね!
図のように、送信した文字データは直通で相手のサーバーに届くわけではなく、ネット上の数々の機器を通過していくわけです。そしてSSLを導入していない場合は「もりひろこ」という文字がそのまま、あちこちの機器を通過しています。
世の中には悪いヤツがいて、通信の途中に特殊な仕掛けをして、その情報を盗み取ろうとします。
インターネットの性質上、残念ながらこの盗聴を食い止めることはなかなか難しいわけです。
身近なところでは、公衆無線LANや社内のネットワークなど、条件によっては盗聴できてしまいます。そして、隣の人がじつは「悪い輩」かもしれません。
そこで、この「もりひろこ」を「Xr@afsra842jafka;a」のようにぐちゃぐちゃの暗号にしてやりとりしてしまおうというのがSSLという仕組みなります。
(本来はSSL/TLSと書くべきですが、英数カタカナが多いとオカンがイライラするので、SSL表記のみとします。)
そして以下がSSLを導入した場合の流れです。
ホームページを開いた時に、まず「オカン用の鍵」と、図では端折っていますが「そのホームページが安全だという証明書」をそのサーバーから貰います。
(オカン用と書いてますが、ユーザー用(公開鍵)という意味です)
次にこの鍵を使って文字データ等を”ぐちゃぐちゃの文字”に変換して送ります。(暗号化)
受け取ったサーバーでは、マンションの管理人さんが持ってるマスターキーのような「専用の鍵(秘密鍵)」でぐちゃぐちゃになった文字を元に戻します。(復号化)
秘密鍵が無ければ途中で盗聴されても、「ぐちゃぐちゃの文字を眺めるだけ」なんですね。残念!
こうして安全なやりとりを行うのが「SSL通信」になります。
しかし、この公開鍵暗号方式を考えた人は凄い賢いですね。
SSLを導入しているサイトの見分け方
これはね、とってもカンタン!
アドレスの最初に「https://~」となっていればSSL通信です。
「http://~」は違います。
httpの後に「s」があるか無いかをチェックしてください。
よくね、鍵マークがつくとか説明してるのを見ますが、使ってるブラウザ(ホームページを見るソフト)の種類によっても以下のように表示の仕方が異なるので、アドレスの先頭(https://)で確認するようにして下さい。
(スマホで閲覧の方はちょっと拡大して見てね)
一つここで重要なこと
この「https://~」ですが、そのホームページの全ページが「https://」とは限りません。
最初に書いた「ログイン画面」や「買い物カゴ」、「お問い合わせフォーム」など、情報を送るページのみしか「https://」になっていないホームページも、まだまだ山ほどあります。
なので、トップページが「s」が付いてないわ~!といって、安全じゃないわけではありません。
ズバリ!「送信ボタン」があるページは「https://」になっているかをチェックしてください。
全ページがSSL通信になっているサイトを「常時SSL」と言いますが、今後、どのホームページも常時SSLになっていくと思います。
(ウチはホームページ制作会社なんで、当然常時SSLになっています。)
はい、オカンはここまで。お疲れ様!
ホームページを運営する人へ
ここからはWEB屋らしくサイトマスター向けのお話です。
SSLってお金かかるんでしょ?まだウチのサイトは要らないわ~。と思っている方は絶対読んでほしいです。
SSLを導入していないサイトは色々と不利になる
SSLの導入は正直避けられないところまで来ています。
その1:Googleの検索結果が不利
以前ブログにも書きましたが、2015年にGoogleはSSLを導入しているホームページを優先すると公言しています。つまり、SEOに影響してくるというわけです。
これ、発表から2年以上経ちますので、よりシビアになってくるかと思います。
ブラウザでおっかないアナウンスが出る
最新のブラウザで、SSL導入されていないフォームに文字を入力すると、
ご丁寧に「保護されていません」と警告が出ます。
お客さんもびっくりして、問い合わせするの止めてしまうでしょう。
警察協会だって言ってます
もうすぐ公開※される警察協会の「サイバー犯罪啓蒙ビデオ」で、インチキ通販サイトに騙されないための見分け方として、「SSLになっていない通販サイトは詐欺サイトです。」と言い切っていました。
(※平成29年度制作のものです。2018-01-21時点ではまだ公開されていません。)
2018-01-30 公開されました。
2018.02.09 こういう記事も出ました。
遂に来た!通信が安全ではないことを示す警告をすべての非HTTPSページにGoogle Chromeが常に表示。2018年7月リリースのバージョン68から https://t.co/APry3t1tkC
— Webクリエイター ボックス (@webcreatorbox) 2018年2月9日
SSL導入は誰に頼むのか?
ズバリ、サーバーを借りているプロバイダーです。
おそらく、サーバー関連も制作会社にお任せされている人も多いと思います。その場合は制作会社で大丈夫です。
SSL導入はいくらかかるのか?
SSLの導入には大まかに以下の3つに費用が発生します。
1.証明書
SSLを導入するには、まず「証明書」の発行にお金がかかります。
これは1~3年に1回更新し続ける必要※があります。
証明書はタイプ(レベル)、発行している認証局にもよりますが、今は高いもので80,000円(年)、安いもので10,000円(年)くらいです。
くどいようですがホームページがある限りずっとかかります。
※機関により5年更新もありますがおおよそ3年の複数年更新で割引
2.プロバイダー
SSLを使用できるようにするためのサーバー設定で、会社によって費用はまちまちなので、一度確認してみてください。数千円以内(年または初回のみ)に収まる程度かと思います。
3.制作会社
SSL導入を丸投げで制作会社にお願いするのであれば、初期の手間賃くらいでしょうか。
既存のホームページを改修する必要があればその改修費が発生しますが、小規模サイトで常時SSLの場合は「.htaccess」というテキストファイルに数行書き足すだけで済みますので、それくらいはサービスでやってくれるかと思います。
サーバー証明書?
さて、「証明書」という言葉が出てきましたが、これは一体何なんでしょう。
暗号化通信は行えたとしても、そもそも相手が詐欺サイトなら意味がないですね。
そこで、「このホームページのオーナーはきちんと実在してますよ」とか、「架空の会社や団体じゃないですよ」といった、安全性を第三者に証明してもらうわけです。
この証明は松竹梅のレベルがあります。安く済ませるなら梅レベルの「ドメイン認証(DV)」というタイプで良いかと思います。(但し銀行等、高い安全性が求められる場合は一番高いの(EV)を使うことが多いです。)
で、昨今は証明書を発行している会社もいっぱいあります。
どこがいいかは制作会社かプロバイダーに聞いてみて下さい。
2018.06.06 補足 サーバー証明書は過信しない。
最近、セキュリティ系のニュースでは、サーバー証明書を確認しましょう的な記事をちょくちょく見ますが、ちょっと誤解を招きそうなので追記します。
SSLを導入していると何が安全なのか?
この問に対して最近の記事を読むと、「SSLを導入している会社は安全」と勘違いしてしまいそうになりますが、実際には「SSLを導入しているサイトとの通信が安全」です。
謄本等で実在確認をするEV(企業認証)ならともかく、OVやDVなんかその気になれば詐欺会社でも取得できますからね。
それに一般ユーザーはいちいちEVだDVだなんて確認しないでしょう。
SSLはあくまで「盗聴防止」という風にお考えください。
「いいね!」がリセットされる?
Facebookの「いいね!」ボタンを付けている方には残念なお話ですが、常時SSLを導入することでアドレス(URL)が「http://~」から「https://~」となるため、せっせと貯めた「いいね!」がリセットされます。
検索すると、あの手この手で何とかしようとする記事がありますが、一手間二手間かかりそうですし、Facebook自体の仕様変更に振り回されるのも堪らんので、私は諦めました。
どうしても維持したいのなら、送信ボタンのあるページのみSSLにして、その他のページはhttpのままにしておくのが手っ取り早いでしょう。但し、サイト内のリンクを絶対URLにする必要があるので、面倒といえば面倒です。
「合成写真と撮影のコツ」なんかは、いいねが「49」あったんですが、今じゃ「0」ですよ。とほほ。
最後に
SSLを導入したからといって、全てが安全・安心になるというわけではありません。
安全なホームページ運用のために「やっておくべきいくつかの事」の一つに過ぎないのです。
お金がかかるなぁ・・と思われます?
私もそう思います。
昔と違って今は様々なサイバー犯罪が増えてますし、これからのIoT時代となればさらにセキュリティ・トラブルも増える時代になると思います。
車を維持するのにお金がかかるように、ホームページを維持するのもお金がかかるようになってきましたね。
う~ん、こればっかりは仕方がないですので、早めに割り切って少々の予算確保を強くオススメします。
今回内容をチェックしていただいたプロバイダさんも
「情報漏えいの場合、賠償責任になることがあるので保険の意味でも前向きに検討が良いです」
と仰っていました。
お客さまより「SSL」にすると表示が速くなるの?と質問がありましたが、HTTP/2が設定されているサーバーで、またそれに最適化してあるサイト(ファイルを細分化している等)であることが条件と思われますので、実際は上記に当てはまらない場合、SSLハンドシェイク等の処理で遅くなる(小規模サイトではあまり気にならないと思いますが)はずです。
この記事はお役に立ちましたか?
役に立たなかった | 役にたった | |