2018年02月14日

常時SSL化で安全安心のホームページへ

SSLとは?

インターネット上では、住所や氏名といった個人情報はもちろん、クレジットカード番号、各種パスワードといった重要な情報が、毎日頻繁に送受信されています。一方で、それら重要情報を盗聴するなどのインターネット犯罪は絶えません。ホームページの「安全性」を保つために活躍するのが世界標準のセキュリティ技術、SSL(Secure Sockets Layer)/TLS(Transport Layer Security)です。
SSLの役割は大きく2つあります。

1つ目は、インターネット上の通信を暗号化する技術です。
パソコンとサーバー間の通信データを暗号化することで、第三者によるデータの盗聴や改ざんなどを防ぐことができます。

2つ目は、ホームページ運営団体の身元証明です。
SSLサーバー証明書は第三者機関により認証され、発行されます。
認証には様々なレベルがありますが、ホームページが本物であることの証明となり、「なりすまし」や「フィッシング」を防ぎ、ユーザーに安心感を与えます。

SSLが導入されているホームページは、ブラウザのアドレスバーに表示されるURL「http://」にセキュア(Secure)を表す「s」が付き、「https://」になります。ブラウザによっては鍵マークがつきます。

※参照サイト:ジオトラストSSL/TLSの解説と選び方まとめ

SSLに関する最近の動向

一昔前までは、お問合せフォームやお支払いページなど、個人情報を入力する必要のあるページをSSL化する「一部SSL」が主流でした。

ホームページの一部だけをSSL化していた背景には、現在よりもセキュリティの概念が緩く、個人情報をやりとりするページさえ守られていれば安全だと考えられていたことがあります。

しかし、通常のページでも、閲覧状況、閲覧履歴など様々な個人情報をサーバーとやりとりしています。最近は公衆のWi-Fiも増え、外出先でスマートフォンからホームページを見る機会も増えました。公衆のWi-Fiはセキュリティ面でも甘いことが多く、第三者による個人情報の盗聴などのリスクがあります。

そこで、
「常時SSL」:サイト全体をSSL化すること
が求められるようになってきました。

より安全にユーザーがインターネットを利用することを目的とした「常時SSL」の普及を促すためにGoogleは検索順位を決める要素の中の1つに「SSL化」を加えると発表しました。「SSL化」で魔法のように検索順位が上がる訳ではありませんが、同じようなコンテンツであれば「SSL化」されているホームページが優遇されます。

さらにインターネットを見る各種ブラウザにおいては、SSL化されているページと、SSL化されていないページがはっきりと分かるような表示になってきました。

以前はSSLを導入しホームページを暗号化することで表示が遅くなる(暗号化のオーバーヘッド)という事例がありました。
しかし現在はサーバーやクパソコンの性能が上がったため、SSL化で表示が遅くなる現象は改善されました。
むしろSSL化を行うと「HTTP/2(Hypertext Transfer Protocol version 2) 」という異なるプロトコルを利用するため、「http」ページよりも表示が早くなるとも言われています。

※参照サイト:Googleも推奨!サイト全体を「常時SSL化」するべき理由とメリットについて

SSLの種類と「Let’s Encrypt」について

SSLサーバー証明書は大きく、
・EV認証(EV:Extended Validation)
・企業実在認証(OV:Organization Validation)
・ドメイン認証(DV:Domain Validation)
の3つのタイプに分類されます。

■EV認証(EV:Extended Validation)

ドメイン使用権の有無に加えて、ホームページ運営団体の実在性を最も厳格に認証するSSLサーバー証明書です。「CA/ブラウザフォーラム」という主要なブラウザベンダーと認証局で構成される団体が策定した「EVガイドライン」に基づき、実在性の確認を厳格に行うのが特徴です。これにより、EV SSL証明書は最高レベルの信頼性を実現します。
・年間予算:12万円程度
・鍵マーク+緑色の文字や緑色のバックで社名表示

■企業実在認証(OV:Organization Validation)

ドメイン使用権の有無に加えて、ウェブサイト運営団体の実在性を認証するSSLサーバー証明書です。第三者機関(調査会社等)が保有する情報の照会や、電話による確認などを行うことから、認証強度が強く、高い信頼性を実現します。
・年間予算:6万円程度

■ドメイン認証(DV:Domain Validation)

ドメイン使用権の有無のみを認証するSSLサーバー証明書です。この証明書は、ドメインの使用権を保有していれば、機械的な発行処理によって比較的低価格・短時間で取得が可能です。しかし、ホームページ運営団体の実在性については審査対象ではないため、フィッシング詐欺対策として十分とは言えません。
・年間予算:無料~2万円程度

これまでは、SSLサーバー証明書はシマンテック(旧ベリサイン)、グローバルサイン、ジオトラストなど有名なブランドにより提供されてきましたが、Let’s Encrypt(レッツエンクリプト)により、無料でSSLサーバー証明書を取得できるようになりました。Let’s Encryptは「Internet Security Research Group (ISRG) 」という公益法人が提供し、「誰もが安全なウェブを体験できる」ことを目的に「Mozilla」「Chrome」「Facebook」など様々なスポンサー の寄付で運営されています。
暗号化強度においては、有料のSSLサーバー証明書と違いはありません。

※参照サイト:SSLサーバ証明書の種類と比較|Symantec

KHデザインのサービスと料金

SSL導入の流れは、今後も広がっていきます。SSLサーバー証明書を導入することが、「盗聴、パケット改ざんの防止」「社会的信用が上がる」「ユーザーに安心感を与える」というメリットを得ることができます。検索順位にとっても、少なからずプラスに働きます。
まずは年間予算無料の「Let’s Encrypt」のSSLを導入することをオススメしております。

SSLサーバー認証:ドメイン認証(Let’s Encrypt)
初期設定料金:1万円
月額料金:0円
サービス内容:
各種サーバーにおいて、申請を行いSSLサーバ証明書を取得いたします。
ホームページのアドレスを「http://xxx.com」から「https://xxx.com」に変更します。
古いアドレスへのアクセスは、自動的に新しいアドレスに転送されるよう設定を行います。
検索エンジンに対して、ページの評価が正しく移行されるよう申請を行います。

その他、有料SSLサーバー認証の設定も承ります。
お気軽にお問合せ下さい。


会社・サービス・商品の魅力を2割増しで発信しましょう!
ホームページ制作会社KHデザイン »

カテゴリ:サービス紹介|日時:2018年02月14日16:08|コメント(0)

コメント/トラックバック (0件)

【トラックバック用URL】

この記事のコメント・トラックバックのRSS »

まだコメントはありません。

コメントする




※管理人のみ公開されます。


使用できるXHTMLタグ:<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

サイト内検索

2024年3月
« 7月    
 12
3456789
10111213141516
17181920212223
24252627282930
31  

Copyright © KH.Design All Rights Reserved.

【パソコン版に表示を切り替える】

【スマホ版に表示を切り替える】