2018年02月14日
インターネット上では、住所や氏名といった個人情報はもちろん、クレジットカード番号、各種パスワードといった重要な情報が、毎日頻繁に送受信されています。一方で、それら重要情報を盗聴するなどのインターネット犯罪は絶えません。ホームページの「安全性」を保つために活躍するのが世界標準のセキュリティ技術、SSL(Secure Sockets Layer)/TLS(Transport Layer Security)です。
SSLの役割は大きく2つあります。
1つ目は、インターネット上の通信を暗号化する技術です。
パソコンとサーバー間の通信データを暗号化することで、第三者によるデータの盗聴や改ざんなどを防ぐことができます。
2つ目は、ホームページ運営団体の身元証明です。
SSLサーバー証明書は第三者機関により認証され、発行されます。
認証には様々なレベルがありますが、ホームページが本物であることの証明となり、「なりすまし」や「フィッシング」を防ぎ、ユーザーに安心感を与えます。
SSLが導入されているホームページは、ブラウザのアドレスバーに表示されるURL「http://」にセキュア(Secure)を表す「s」が付き、「https://」になります。ブラウザによっては鍵マークがつきます。
※参照サイト:ジオトラストSSL/TLSの解説と選び方まとめ
一昔前までは、お問合せフォームやお支払いページなど、個人情報を入力する必要のあるページをSSL化する「一部SSL」が主流でした。
ホームページの一部だけをSSL化していた背景には、現在よりもセキュリティの概念が緩く、個人情報をやりとりするページさえ守られていれば安全だと考えられていたことがあります。
しかし、通常のページでも、閲覧状況、閲覧履歴など様々な個人情報をサーバーとやりとりしています。最近は公衆のWi-Fiも増え、外出先でスマートフォンからホームページを見る機会も増えました。公衆のWi-Fiはセキュリティ面でも甘いことが多く、第三者による個人情報の盗聴などのリスクがあります。
そこで、
「常時SSL」:サイト全体をSSL化すること
が求められるようになってきました。
より安全にユーザーがインターネットを利用することを目的とした「常時SSL」の普及を促すためにGoogleは検索順位を決める要素の中の1つに「SSL化」を加えると発表しました。「SSL化」で魔法のように検索順位が上がる訳ではありませんが、同じようなコンテンツであれば「SSL化」されているホームページが優遇されます。
さらにインターネットを見る各種ブラウザにおいては、SSL化されているページと、SSL化されていないページがはっきりと分かるような表示になってきました。
以前はSSLを導入しホームページを暗号化することで表示が遅くなる(暗号化のオーバーヘッド)という事例がありました。
しかし現在はサーバーやクパソコンの性能が上がったため、SSL化で表示が遅くなる現象は改善されました。
むしろSSL化を行うと「HTTP/2(Hypertext Transfer Protocol version 2) 」という異なるプロトコルを利用するため、「http」ページよりも表示が早くなるとも言われています。
※参照サイト:Googleも推奨!サイト全体を「常時SSL化」するべき理由とメリットについて
SSLサーバー証明書は大きく、
・EV認証(EV:Extended Validation)
・企業実在認証(OV:Organization Validation)
・ドメイン認証(DV:Domain Validation)
の3つのタイプに分類されます。
ドメイン使用権の有無に加えて、ホームページ運営団体の実在性を最も厳格に認証するSSLサーバー証明書です。「CA/ブラウザフォーラム」という主要なブラウザベンダーと認証局で構成される団体が策定した「EVガイドライン」に基づき、実在性の確認を厳格に行うのが特徴です。これにより、EV SSL証明書は最高レベルの信頼性を実現します。
・年間予算:12万円程度
・鍵マーク+緑色の文字や緑色のバックで社名表示
ドメイン使用権の有無に加えて、ウェブサイト運営団体の実在性を認証するSSLサーバー証明書です。第三者機関(調査会社等)が保有する情報の照会や、電話による確認などを行うことから、認証強度が強く、高い信頼性を実現します。
・年間予算:6万円程度
ドメイン使用権の有無のみを認証するSSLサーバー証明書です。この証明書は、ドメインの使用権を保有していれば、機械的な発行処理によって比較的低価格・短時間で取得が可能です。しかし、ホームページ運営団体の実在性については審査対象ではないため、フィッシング詐欺対策として十分とは言えません。
・年間予算:無料~2万円程度
これまでは、SSLサーバー証明書はシマンテック(旧ベリサイン)、グローバルサイン、ジオトラストなど有名なブランドにより提供されてきましたが、Let’s Encrypt(レッツエンクリプト)により、無料でSSLサーバー証明書を取得できるようになりました。Let’s Encryptは「Internet Security Research Group (ISRG) 」という公益法人が提供し、「誰もが安全なウェブを体験できる」ことを目的に「Mozilla」「Chrome」「Facebook」など様々なスポンサー の寄付で運営されています。
暗号化強度においては、有料のSSLサーバー証明書と違いはありません。
※参照サイト:SSLサーバ証明書の種類と比較|Symantec
SSL導入の流れは、今後も広がっていきます。SSLサーバー証明書を導入することが、「盗聴、パケット改ざんの防止」「社会的信用が上がる」「ユーザーに安心感を与える」というメリットを得ることができます。検索順位にとっても、少なからずプラスに働きます。
まずは年間予算無料の「Let’s Encrypt」のSSLを導入することをオススメしております。
SSLサーバー認証:ドメイン認証(Let’s Encrypt)
初期設定料金:1万円
月額料金:0円
サービス内容:
各種サーバーにおいて、申請を行いSSLサーバ証明書を取得いたします。
ホームページのアドレスを「http://xxx.com」から「https://xxx.com」に変更します。
古いアドレスへのアクセスは、自動的に新しいアドレスに転送されるよう設定を行います。
検索エンジンに対して、ページの評価が正しく移行されるよう申請を行います。
その他、有料SSLサーバー認証の設定も承ります。
お気軽にお問合せ下さい。
【1つ過去の記事OLD】【これで食材を腐らせる習慣とさよなら!!】ネットで見つけた節約術! »
【1つ未来の記事NEW】ぐっさん家でも紹介された『GALLERY CAFE わッつ』 »
サイト内検索
最新記事
カテゴリー
日 | 月 | 火 | 水 | 木 | 金 | 土 |
---|---|---|---|---|---|---|
« 7月 | ||||||
1 | 2 | 3 | 4 | 5 | ||
6 | 7 | 8 | 9 | 10 | 11 | 12 |
13 | 14 | 15 | 16 | 17 | 18 | 19 |
20 | 21 | 22 | 23 | 24 | 25 | 26 |
27 | 28 | 29 | 30 | 31 |
月間アーカイブ
Copyright © KH.Design All Rights Reserved.
コメント/トラックバック (0件)
【トラックバック用URL】
この記事のコメント・トラックバックのRSS »
まだコメントはありません。
コメントする