LGA-BLOG

アンディ・マレー応援ブログ

【無料SSL証明書も!】SSLの導入メリット・必要性・注意点

    2016/11/26

web-secity-ssl

京都で小規模ながらWebデザイナーとして活動しているのに、「SSLが一体どういうものなのか」うやむやにしたまま過ごしていました。

が、先日SSLをテーマにしたセミナーに参加して(+少し自分でも勉強して)、ついに「SSLとはどういうもので、どんなメリットがあって、どんな人や会社にとって必要なのか」などについて知ることが出来ました!

忘れてしまわないように備忘録として、また過去の僕と同じようにSSLについてうやむやな方の参考になればと思い、まとめてみました!

スポンサーリンク

SSLとは?TLSとの違いは?

https-

SSLとはSecure Sockets Layerの略で、インターネット上の通信経路を暗号化し安全にデータを送受信できるようにするプロトコルのことです。

プロトコルってのは通信規格、通信ルールだと思ってください。(昔、自身がプロトコルと聞いただけで思考停止していたので、念のための補足です…)

一般的にはWebサイトへの導入が多いのですが、SSLによる通信の暗号化はFTPやメール、アプリなどに導入することもできます。

SSLの導入されたWebサイトは、URLが「https://」で始まる形になります。(当ブログも個人ブログなのにSSLが導入されているのでhttps://ichimame.comというURLです)

 

SSLを導入すると、通信が暗号化されるので通信経路を狙った「盗聴」や「改ざん」、「なりすまし」による被害を防げる可能性が高まります。

クレジットカード情報などの個人情報を扱う通販サイト等では必須のものと言えます。

 

また、SSLとは別でTLSという言葉もあります。

TLSとはTransport Layer Securityの略で、SSLの仕様上の問題点を解決した後継プロトコルです。SSLとTLSには開発順にバージョンが割り当てられ、以下のようになっています。

 

【SSL/TLSのバージョン推移】

SSL1.0:暗号化に問題アリで開発が中断された。証明書改ざんに対しても×
SSL2.0:暗号化に問題アリ、証明書改ざん×
SSL3.0:暗号化に問題アリ、証明書改ざん○。

TLS1.0:暗号化に問題アリだが対策可能、証明書改ざん○。
TLS1.1:暗号化に問題アリだが対策可能、証明書改ざん○。
TLS1.2:暗号化の問題ナシ、証明書改ざん○。

 

実は、SSL1.0〜3.0による通信暗号化はすでに問題があるため推奨されていません。

なので現在、実質的にはSSLよりもTLSの方が主流となっています。

しかし、SSLの言葉自体がすでに広く認知されていることもあり、TLSについてもSSLの俗称で呼ぶことが多いです。(証明書発行元もTLS/SSL、SSL/TLSと表記してたりします)

 

SSLの「SHA-1」「SHA-2」とかって何?

famima-park-sha-2

SHA-1(シャーワン)SHA-2(シャーツー)という言葉を聞いたことのある方も多いと思います。(僕はセミナーに行くまで全く知りませんでしたが…)

これらはハッシュ関数と言って、「SHA-1」「SHA-2」の2種類があります。

 

Webサイト等にSSLを導入してSSLサーバー証明書が発行されたとしても、その証明書自体が改ざんされてしまうと安全ではなくなってしまいます。

なので、証明書には改ざんされたかどうかを確かめる仕組みが備えられています。

その改ざんの有無を確認する仕組みのことを、ハッシュ関数と言います。

 

実は2種類のうち、「SHA-1」には脆弱性が発見されていて、各OSやブラウザ・アプリ等がSHA-1通信を遮断する予定になっています。(主要なところではWindows、IE、Chromeが2017年1月1日に遮断すると発表しています。またMacのApp Storeでは既に遮断されています。)

前述のTLSのバージョン別でみると、(2016年7月時点)最新のTLS1.2はSHA-2のみ通信可能になっています。

※上の画像は「ファミマパーク」から届いたお知らせページの一部です。脆弱性があるのでSHA-1からSHA-2へ移行しますという案内でした。

 

SSL導入のメリット(デメリット)は?必要性は?

https29per

現在、毎年10%ずつくらいSSL導入サイトが増えていて、全体の4分の1以上にあたる29%がhttps://から始まるURLになっています(2016年7月時点)。

HTTPSリクエスト状況を確認できます

 

しかし、通信暗号化のためだけだと「自分が扱っているWebサイト等にはSSLを導入するメリットはあまりないな」と感じるはずです。

(街でオープンになったWiFi経由での悪さを行う輩が結構いるようなので、オープンなWiFiに知らない間に繋いで通信している無防備な一般ユーザーを守るために、扱っているWebサイトをSSL化するというメリットは一応あります)

むしろSSLは費用がかかるので、費用対効果を考えても導入しない方がいいという意見も多くありましたが…タイトルにあるようにSSLが無料で導入できるサービスが出てきています!

(これについては後ほど詳しく解説しています)

 

現在、非SSL環境にペナルティーを与えることで、Webサイトの常時SSL(全ページSSL)化を推奨する動きが業界で加速しています。

つまり、常時SSLがこれからの標準になるよう、世の中は変わってきています。

※常時SSLとはWebサイト全体にSSLが導入されている状態です。以前は、Webサイトの中でもID・パスワードやクレジットカードの情報など安全性の求められるページに限りSSL暗号化通信を採用しているサイトが多かったため生まれた言葉です。

 

常時SSL化しないと起こりうるデメリット(つまり常時SSL化すると得られるメリット)について、以下にまとめています。

 

1. 優先的にインデックスされず、検索順位に影響する

Googleがウェブマスター向け公式ブログで発表したのは、「HTTPSページが優先的にインデックスされます」という内容でした。

「優先的にインデックスされるだけなら別にFetch as Googleで解決じゃないか」と思ってしまいそうですが、実はインデックスだけでなく少なからず検索順位に影響している事が分かっています。

iPhoneやMacで有名なAppleのホームページは常時SSL化になっておらず、検索順位に大きく影響が出ているようです。(Increase in visibilityに5%の影響が出ました)

また、ロングテールキーワードではより影響が顕著に出るようです。

これからの時代ロングテールSEO戦略はますます重要になってきますので、常時SSL化するメリットは大いにありそうです。

 

2. アクセス解析のリファラ引き渡しがないのでリンク元情報が減る

リファーラルで他サイトから自分のサイトへアクセスがあった場合に問題が起こります。

自分のサイトがhttpで、リファーラル元(リンク元)がhttpsだった場合、リファラ引き渡しが行われません。つまり、リファーラルとして見なされないことになります。

結果的にアクセス解析結果の精度が落ちてしまいます。

ちなみに、https同士だとリファラ引き渡し問題は起こりません。

 

3. ブラウザがhttpsを優遇するような体制になりつつある

Firefox開発元のMozilla Foundationは、HTTPのWebサイトに対するサポートを段階的に縮小すると発表しています。

具体的には、ブラウザ新機能をHTTPSサイトのみサポートするようです。

また、Chromeは現在アドレスバーにアイコンで「安全で無い」と警告表示をしています。セキュリティ状況を「安全(Secure)」HTTPSでもTLSにマイナーエラー等があって「疑問あり(Dubious)」HTTPを使っていて「安全でない(Non-secure)」の3段階に分類して表示させています。

これにより、HTTPSのサイトは表示の上で優位性があると言えます。

 

4. 次世代の高速プロトコル「HTTP/2」はHTTPSのみサポート

インターネット通信は長い間「HTTP/1.1」というプロトコルでされてきましたが、2015年5月に次のプロトコル「HTTP/2」が発表になりました。

最新ブラウザはこのHTTP/2に対応しております。

すごくかいつまんで端的に言うと、HTTP/2は高速通信が可能です。

※必ずしも世の中の全てのWebサイトがHTTP/2で高速表示される訳ではありませんが、当ブログのような画像の多いサイトや、同時アクセスの多いサイトは恩恵が受けられる模様です。HTTP/2について詳しくはHTTP/2の特徴 HTTP/1.1との違いについて(キャッシュ屋blog)等をご参照ください。

しかし、仮に最新ブラウザを使って見にいっても、HTTPのサイトはHTTP/2サポート外なのでサイト表示が速くなりません。

サイト表示速度が1秒遅くなるとページビューが11%減、コンバージョン率が7%減になるというデータもあるほど、表示速度とSEOは密接に関係しています。

検索順位を決める指標の一つにページ表示速度があるのも周知の事実です。

HTTP/2の恩恵を受けて高速表示を実現するためにもHTTPSは必須と言えます。

【HTTPとHTTPSの比較テストサイト(最新ブラウザだと顕著な差が出ます)】
http版 VS https版

 

5. iOS向けアプリはセキュリティ機能への対応を義務化

iPhoneのOSであるiOSは、iOS9アップデートの際にアプリ通信をHTTPSのみサポートするよう仕様変更しました。

2017年1月からは、iOSアプリにHTTPS接続を義務化すると発表しています。(App Transport Security(ATS)と呼ばれるセキュリティ対策が施されます)

アプリだけにとどまらず、Webサイトに対してもHTTPS接続の義務化が課される日が…来ないとは思いますが100%ないとは言い切れません。

 

まとめると…SSL化のメリット(非SSLのデメリット)は今後ますます増えていくと見られ、特にこれから新規でWebサイトを作る場合は導入することをオススメします。

 

無料のSSL証明書が出現で、コストの問題が解消!

先ほどチラッと言ってましたが、実は無料でSSLが導入できる仕組みができております。

…とその前に、「SSLサーバー証明書の種類」について簡単にまとめておきます。

証明書には「ドメイン認証型(DV)」「企業認証型(OV)」「EV認証型(EV)」の3つがあり、それぞれ次のような特徴があります。

 

ドメイン認証型(DV):無料のものも登場しています

費用が年間0〜5万円くらいで、発行基準はゆるめ、実在確認はドメインに対してのみです。比較的安全性が高く、盗聴・改ざんに効果があります。

Chrome最新版での表示はこのようになります。

ssl-dv

 

企業認証型(OV):企業サイトに多く導入されています

費用が年間5〜10万円くらいで、発行基準はDVよりも厳しいです(認証局の独自基準に基づいて発行されます)。実在確認がドメインだけでなく企業確認も含まれています。盗聴・改ざん・なりすましに効果があります。

Chrome表示はDVと同じです。

 

EV認証型(EV):最も厳格で、大手銀行などで導入されています

費用が年間10万円以上で高く、発行基準が最も厳しいです(国際的基準に基づきより厳格に発行されます)。ドメインも企業確認も実在確認が含まれており、盗聴・改ざん・なりすましに効果があります。

Chrome表示はこのように豪華な装いです。

ssl-ev

 

無料でSSLが実現!ドメイン認証型の「Let’s Encrypt」

MozillaやCISCO、Chrome、Facebookなどがスポンサーになって、SSL標準を目指して出来たのが、無料SSLサーバー証明書の「Let’s Encrypt(レッツ エンクリプト)」です。

無料での提供ですが、特に安全性に問題もなく安心して使用できるドメイン認証型の証明書です。

証明書の期限が90日と短いのが欠点ではありますが(推奨は60日更新のよう)それでも無料というのは魅力的です。

 

ただし、Let’s Encryptが無料で実装でき、自動的に更新までしてくれるレンタルサーバーも出てきています。

 

ファーストサーバ株式会社の「Zenlogic(ゼンロジック)」

どこよりも早くLet’s Encryptを導入したのがファーストサーバのZenlogicです。

Zenlogicはクラウド型のレンタルサーバーで、一つのサーバーに複数のSSL証明書を利用できるSNIにも対応しています。

実務でメインで使っているサーバーで、主に中小企業向けのものですが、プランを適切に選ぶことでアクセスの多いWebサイトにも利用できます。

1つの契約で6つまで異なるドメインのWebサイトを作成でき、1つの管理画面で全てを管理できるのがオススメポイントです。

サポートも非常に充実しており、営業時間内であればフリーコールでいつでも操作などについて相談が可能です。

SSL化についても、申し込みボタンを押すだけであとは勝手に登録してくれて、証明書の更新もZenlogic側で行ってくれるのでとてもラクチンです。


エックスサーバー株式会社の「エックスサーバー」

当ブログでも使用している、高速・多機能・高安定が売りのエックスサーバー

エックスサーバーもLet’s Encrypt、SNIに対応しており、サーバーパネル(サーバー管理画面)のSSL設定項目でボタンを押すだけで完了です。

こちらも証明書の更新を自動で行ってくれますので、導入してしまえば後は何もしなくても常時SSLが続きます。

当ブログはドメイン無料キャンペーン中に契約したので、実質1000円(税別)/月でサーバーもドメインもSSL証明書も手に入っていることになります。


株式会社レグルスの「レオサーバー」

調べるまで知らなかったんですが、レオサーバーでもLet’s Encrypt+SNIを無料で導入することができます。

サーバー料金が月額525円からで契約でき、容量も無制限なのが魅力的です。(サーバー初期費用等は当然ですが別途必要です)

ちなみに基本的にサポートはメールのみのようです。

 

これから新規のWebサイト制作でレンタルサーバーを選ぶ際には、SSL化できるかどうかを意識することが重要になってきそうです。

 

注意点はマイナーエラーとソーシャルメディア

良いことづくしのような常時SSL化ですが、欠点というか注意点もあります。

一つはマイナーエラーです。

実は、ハッシュ関数がSHA-1だったり、自ページからのリンク先がhttpだったりすると、アドレスバーの表示がエラー表示になり、ブラウザによってはSSL化されていないような表示になります。(chromeはマイナーエラーだとhttpサイトと同じ表示です)

特に「リンク先がhttp問題」は曲者で、当ブログの場合「人気ブログランキング」のバナーを設置しているページはマイナーエラーが起こってしまいます。(人気ブログランキングがhttpのため)

何が原因でマイナーエラーが起きているのかは、chromeのデベロッパーツール等で調べられますので、SSL化したのに表示がおかしい場合はご確認ください。

 

また、ソーシャルメディアのいいね!等のカウンターが全て初期化されてしまいます。

当ブログのようにページ数もいいね!等の数もしれている場合はそこまで問題ではないのですが、すでにページ数もいいね!等の数も多い場合には、SSL化するかどうかの判断は難しいところです。

すでに成長してしまっているWebサイトは仕方ないとして、これから先新規で作るWebサイトは是非とも制作段階からSSL化を視野に入れたいものです。

 

以上、まだまだ不勉強なので不十分な部分やあやしい部分もあるかもしれません…。

この記事がきっかけでSSL化への関心を少しでも持っていただけたなら幸いです。

長文にお付き合いいただきありがとうございました。

 - Web