運営サイトの安全性を高める!『SSL』とは?~導入手順と選び方~
2015年2月14日 WEB
先日金融系のお客さんのWEBサイト制作を進めている際、「SSLを導入して欲しい」という要望がありました。なんでもPマークの申請をおこなっており、その審査にSSLの導入が必要であるということです。
最近Googleは、このSSLを導入しているか否かを、検索順位の決定に組み込むという発表を公式にしています。
現在、その影響は非常に微弱ではあるものの、公式にアルゴリズムに組み込んだという発表は衝撃でした。
セキュリティーのためという本来的な目的はもちろん、SEOを意識した導入など、今後お客さんからの質問や要望が増えそうな点ですね。気になるポイントをまとめてみました。
SSLって何?
SSLとはSecure Socket Layerの略。インターネットでの情報やり取りを、暗号化しておこなうことです。
主にセキュリティー面での対策が目的で、個人情報やクレジットカード情報の安全性の向上が期待できます。
最近ではネット通販の取引が増えてきて、クレジットカード情報を入力する機会が多くあります。クレジット情報・パスワードなどを抜き取られたら大変です。
また、金融系企業のホームページなどでは、問い合わせに記載される個人情報も「富裕層の連絡先」として、手に入れたい人たちがたくさんいます。
インターネット上の情報を悪用しようとする人たちから、自分たちを守る対策を取る重要性が増している。その対策として、SSL導入が有効な手段のひとつなのです。
SSL導入手順
SSL導入の手順は、大きく分ければ2段階。
・証明書を発行してもらう
・証明書をサーバーに設定
SSL導入は、サーバーで暗号化の設定をするだけではありません。まずはそのサイトと、所有者の関係性について証明してもらうことが必要です。本当にそのサイトの所有者があなたなのか。証明してもらうことができれば、暗号化に進むことができます。
一般的な導入手順
1.必要書類を提出する(SSLの種類によって内容は異なります)
2.金額の支払い
3.証明書が発行される
4.サーバーに設定する(サーバーによって手順は異なります)
SSL証明書には種類がある
SSLには2つの種類があります。「ドメイン認証」と「実在性認証」です。
ドメイン認証とは、そのドメインの所有者であることを証明すること。
サイトドメインにメールを送り、本当に届くかどうかという簡易的な確認方法を取ります。審査が簡単であり費用も安いです。そして個人でも利用することができるので、個人運営のブログやECサイトにも導入することができます。
実在性証明は、ドメインを所有する会社自体が法的に存在しているのかを証明します。そのうえで、ドメインの所有者であることを確認します。
確認方法は、帝国データバンクのデータ参照や、電話確認。企業が導入するSSL証明で、最も一般的な形です。
更に厳格な審査が行われる「EV SSL」というのもありますが、ここでは割愛させていただきます。
何かのブログの問い合わせフォームレベルなら、ドメイン認証で十分です。個人情報が抜かれなければいいからです。
ただECサイトや企業ホームページでSSL導入を導入する場合、ほとんどが「実在認証SSL」を選択することとなります。なぜなら、情報の暗号化はもちろん、その情報を取り扱っているサイト運営者自体が信頼に足るか証明する必要があるからです。
必要な費用
大手SSL3社の料金を例に挙げてみました。1年間の契約でかかる費用です。業者によっては月々での支払いを認めているところもあります。
業者ごとに認証サービス名は異なりますが、サービス内容に差異はないので、無理やりまとめてしまいました。
ドメイン認証 | 実在性証明 | |
---|---|---|
グローバルサイン | 37,584円 | 64,584円 |
ジオトラスト | 37,584円 | 57,750円 |
ベリサイン | – | 87,480円 |
なぜ費用が異なるか「ドメイン認証」と「実在性証明」
年間での費用が異なる「ドメイン認証」と「実在性証明」。
しかし実は、どちらの証明書であってもセキュリティーの強さは変わりません。暗号化の強さは、256ビットという同じ強度。実在性証明を利用したからといって、より自分のWEBサイトが安全になるわけではありません。
違いは前述した証明手順の違い。簡易的な審査で、即日にも証明書発行が可能なドメイン認証に対して、実在性証明は審査コストがかかります。
会社が法的に実在していることを証明する必要があるかどうか。自分のサイトの目的に合わせて選ぶようにしましょう。
なぜ費用が異なるか「業者の違い」
業者によっても、暗号化の安全性は変わりません。基本的に暗号化強度は、256ビットで同じです。
ただ、サービス提供会社を調べていくと、価格差が大きいことがわかります。中には数千円で提供している企業もあります。
この違いは、SSL会社の「知名度」でしょう。
例えば、証明書が発行されると、SSLを導入していることを示す「シール」が発行され、WEBサイトに貼ることができます。これはSSL会社によってビジュアルが異なります。
大手のベリデザインは、普及率がナンバーワンで多くの人が目にしたことがあります。そのうえ、ウイルス対策ソフトとして有名なノートンのロゴも表記されているため、一目で安心感を与えることができます。
2011年には、格安SSLとして有名だったComodoがハッキングを受けるという事件がありました。
SSLは情報のセキュリティー確保という直接的役割の他に、ユーザーに与える「信頼感」「安心感」などの「印象」も重要。それが値段に表れていると考えることができるのではないでしょうか。
導入後はリダイレクトや内部リンクの修正を忘れずに
SSL導入後、サイトドメインは「http://」から「https://」に変わります。
SEOのために、以前のurlを引き継ぐリダイレクトが必要となります。
301リダイレクトを設定しましょう。
.htaccessに下記のように記述すればオッケーです。
RewriteEngine on RewriteCond %{SERVER_PORT} !^443$ [OR] RewriteCond %{HTTPS} off RewriteRule ^(.*)$ https://migo-media.com/$1 [R=301,L]
http://になっている内部リンクも修正しましょう。画像のsrcも同様です。相対パスで指定しているのであれば問題はありませんが、絶対パスなのであれば変更しなければ不具合が発生します。
高まるセキュリティーへの関心。SSL導入を検討しよう
情報を取り扱う環境が急激に変化する今、人々の情報セキュリティーへの関心も、高まっています。
ユーザーのリテラシーも高まっていくのであれば、SSL導入は、より重要視されるのではないでしょうか。
すべてのサイトに必要なものではありませんが、自分のサイトに導入するメリットがあるか無いか。一度検討してみてください。