SSLとは?~初心者のための基本解説~
SSLは、サーバとブラウザが安全にデータを送受信するために開発されました。
ネットワーク上で転送される文書を暗号化したり、通信データの改ざんを検査したり、通信相手の身元を確認したりできます。
ホームページ制作.jpってどんなサービス?
- 運営10年!老舗のホームページ制作無料一括見積サービス。
- 審査済の優良ホームページ制作会社のみに見積もり依頼ができる。
- お見積もり無料。何度でもご相談無料。お断り代行も無料。
- 訪問無しのオンライン相談可能!
- しつこい営業は一切致しません!
全国通話無料
受付:年中無休/24時間電話受付0120-900-587
私たちが全力でサポート致します!
宇野(うの)
田丸(たまる)
真中(まなか)
1.SSLとは
SSLを導入することで、セキュリティの高い通信ができ、盗聴や改ざん、なりすましを防げます。SSLは、データを暗号化して安全に送受信し、通信データが書き換えられていないかの検査をします。また、SSLによる認証を使って、通信相手となるサーバの信頼性確認も可能です。
SSLは、サーバがHTML文書を送付する前に、相手の署名や暗号を確認するために開発された通信暗号化プロトコルです。プロトコルとは、通信規約のことです。WebサーバとWebブラウザが相互確認することで、通信の安全性が保たれます。
1.SSLが開発された経緯
SSL(Secure Sockets Layer)は、米ネットスケープ・コミュニケーションズ社が開発した暗号化通信プロトコルです。同社によって提唱されたSSLは、現在のインターネットにおいて標準的なセキュリティ技術となりました。
2.TLSは国際組織IETFがSSLを標準化した規格
SSLはその後、IETF(Internet Engineering Task Force)によって標準化されました。IETFは、各種プロトコルの標準化作業を行う組織です。世界中のエンジニアが非常にオープンな議論を行える場になっています。
IETFは、SSLバージョン3.0に基づいて、規格を策定しました。IETFによって標準化された規格がTLS(Transport Layer Security)です。現在のプロトコルは、正確にはTLSです。しかし、SSLの名称が普及しているため、現在もSSLという呼び名が使われています。SSL/TLSまたはTLS/SSLとも記述されます。
3.SSLとHTTPの組み合わせがHTTPS
HTTPS(HTTP over SSL)とは、SSL上でHTTPを利用することです。SSLが稼働しているかは、ブラウザのアドレスバーで確認できます。
SSL未対応のウェブページはhttp://で、SSLに対応している場合はhttps://です。SSL稼働中は、アドレスバーの左端に鍵マークがあります。鍵アイコンをクリックするとサーバ証明書の情報が表示されます。
Googleは、インターネット上のすべてのウェブページがSSLにより暗号化されることを推奨しています。Google Chromeのアドレスバーに、「保護されていない通信」と表示されるのを見たことはないでしょうか。これは、SSL未対応のウェブページであることを警告するためです。
4.SSLはセキュリティ技術を組み合わせて開発されたプロトコル
SSLでは、公開鍵暗号方式と共通鍵暗号方式が使われます。認証に必要なデジタル証明書の取得に使われるのは、公開鍵暗号です。暗号化では、共通鍵暗号を使います。
また、SSLは、正規の証明書であるかチェックするために、ハッシュ関数を使っています。ハッシュ関数は、入力データから疑似的に乱数を生成する関数です。ハッシュ関数は、改ざん検出などに利用されています。
SSLは、公開鍵暗号や共通鍵暗号、ハッシュ関数などを組み合わせた通信暗号化プロトコルです。
2.SSLサーバ証明書の申し込みと発行
電子商取引などでは、発信者の身元が保証されている必要があります。なりすましの危険性を排除しなければなりません。
サーバが信頼できるサイトであることを証明するには、第三機関である認証局から発行されるサーバ証明書が必要です。認証局の英語表記は、CA(Certificate Authority)です。
申し込む際は、小さなデータ容量のテキストファイルや登記関連の書類が必要です。この時に必要なテキストファイルのことを、CSR(Certificate Signing Request、証明書署名要求)といいます。CSR作成については第3章で説明します。
ここでは、4種類のサーバ証明書の違いや利用用途について説明します。
1.ドメイン認証SSLとは
ドメイン認証では、ドメイン名の所有名義を第三者機関がオンライン審査で確認します。低価格な上、短期間で取得できますが、ウェブサイト運営組織の実在性は確認されません。個人での取得も可能です。ドメイン認証は、なりすまし抑止効果は限定的ですが、暗号化通信に特化した証明書として利用されています。
内部向けのウェブサイト認証であればドメイン認証で問題ないでしょう。例えば、組織内限定サイト、企業のイントラネットやグループウェアなどです。また、メールサーバやFTPサーバ(ファイルサーバ)なども対象です。
あるいは、フォームが含まれていないランディングページ(LP)やキャンペーンページなどに利用してもよいでしょう。
2.企業認証SSLとは
企業認証では、暗号化通信に加え、第三機関が電話なども使いサイトの実在性を確認します。企業認証では、法的な企業の実在性を確認するため、登記簿謄本、実印による申請書、印鑑証明書などの送付が必要です。そのため、個人や個人事業主は取得できません。
外部向けのウェブサイト認証ですが、問い合わせページ、各種手続き、各種フォームなどでの利用が想定されています。企業や団体などの公式サイトで利用される証明書です。
また、SNSや会員制サイトでも、ログイン画面や新規入会画面、各種手続きなどのページに利用されています。
3.EV認証SSLとは
EV認証は、実在性を強くアピールしたい場合の認証です。EV認証は、暗号化通信とサイト実在性の証明をする点は企業認証と同じですが、審査が厳格です。また、緑のアドレスバーが表示されるという特徴があります。アドレスバーが緑になり、運営組織名が表示されます。
EV認証は、重要な外部向けウェブサイト認証で使われます。例えば、企業ウェブサイトのトップページやECサイト、ネット銀行、ネット証券などです。
4.独自認証SSLとは
SSLによる認証は、必ずしも第三者機関のデジタル証明書が必要というわけではありません。サーバで自己署名したデジタル証明書を、サイト利用者のブラウザに追加してもらうことで実現します。証明書の発行費用をかけずに通信の暗号化ができるため、プライベートなネットワークやコミュニティで利用されています。 モバイル端末利用者の増加に伴い、無料Wi-Fiスポットが増えましたが、セキュリティ上の危険性が指摘されています。Cookieのログイン情報が盗み取られたり、なりすましのアクセスポイントであったりするためです。不正ログインされ個人情報が盗まれるような事態もあり得るのです。
独自認証による自己署名でも暗号化の目的は果たせます。暗号化されていれば、盗聴されても情報が読み取られることは防げます。第三者機関と契約する場合は費用が発生しますが、独自認証であれば証明書の発行費用がかかりません。
昨今はウェブサイトの全ページがSSL化されることを求められています。SSL化は、Googleの検索順位にも影響するようです。第三者機関を利用しない場合は、独自認証による全ページのSSL化をお勧めします。
3.SSLを導入するまでの流れ
SSL通信を実現するには、コンピュータマシンで稼働しているWebソフトウェアのほかに、SSLソフトウェアが必要です。そして、CAから送付されたサーバ証明書をサーバコンピュータに保存して設定します。
1.SSLソフトウェアをサーバにインストールする
SSLソフトウェアとして知名度があるのが、オープンソースソフトウェアのOpenSSLです。コンピュータプログラムのソースコードが公開され、無償で提供されています。
OpenSSLは、UNIX系OSやWindowsなどのプラットフォーム上で動作し、広く利用されているソフトウェアです。また、OpenSSLはSSLとTLSの2つのプロトコルを実装しています。
なお、Webブラウザには、最初から認証局の証明書がいくつか登録されており、ブラウザの設定から確認できます。
2.ダウンロードした証明書をサーバにインストールする
SSLによる認証では、公開鍵と秘密鍵を組み合わせて暗号化を行います。まずは、公開鍵と秘密鍵のペアを作成しなければなりません。
作業は、導入するウェブサイトで行います。秘密鍵を作成したら、さらにCSRを生成します。CSRは、ウェブサイト情報が含まれているテキストデータです。そして、CSRをCAへ送付するという流れです。
CAから証明書が送付されてきたら、Webサーバに保存してください。保存したら、SSLソフトウェアで設定します。設定後にWebサーバを再起動すれば、SSLが機能します。
4.まとめ
SSLは、インターネットの標準的な通信暗号化技術として、広く普及しました。SSLによって、WebサーバとWebブラウザ間のデータ送受信は安全性が保たれています。SSLは、データを暗号化して盗聴を防いだり、情報が改ざんされていないか検査したりするセキュリティ技術です。
また、第三者機関である認証局からサーバ証明書を取得して、信頼できるサイトであることを証明します。インターネットを利用すると、なりすましによるフィッシング詐欺などに遭遇する危険性があります。SSLは、サイトの信頼性を確保するためにも、不可欠なセキュリティ技術と言えるでしょう。