WEBサイトの必須要件！常時SSL化とは？

2018年7月に行われたGoogle Chromeのアップデートに伴い、
今後すべてのWEBサイトで常時SSL化が必要となりました。
そこで、常時SSLとは何かを詳しくご説明します。

SSLって何？

SSL化されているサイトといえば
・URLが「https://～」になる
・ブラウザのアドレスバーに鍵マークがつく
など、見た目の違いもありますが、
簡単に言ってしまうと「暗号化通信」の事です。
WEBサイトからデータを暗号化して送受信するための仕組みの事を指します。
例えば、お問い合わせなどで入力される個人情報や、
ECサイトで使用するクレジットカード情報、パスワードなどを、
飲食店の無料Wi-Fiなどを使用してそのまま送信した場合、
ちょっとした知識と悪意を持った第三者に盗み見されたり、改ざんされたり、という事が起こる場合があります。

それを防ぐため、送受信するデータを暗号化し、
送信される情報が改ざんされていないことを証明するためにSSLを使用します。

実は、SSLではない？

一般的に「SSL」という呼称が広まっていますが
SSLとはSecure Sockets Layer（セキュア・ソケット・レイヤ）の略称です。
SSLは1994年に公開され、約20年使われてきていましたが、
2014年にこの「SSL」のバージョン3.0に対して、暗号化通信を解読する攻撃が発見されました。
その為、現在一般的に使用されているのは実は「SSL」ではないのです。

現在広く使われている暗号化通信の名称は
「TLS」、Transport Layer Security（トランスポート・レイヤ・セキュリティ）という仕組みになります。
SSL3.0の脆弱性を排除し、さらに安全性を高めたものになります。

そのため、「SSL」と呼んでいるものも実際は「TLS」であることも多く、
「SSL/TLS」と表記されていることもあります。

なぜ今、必須要件になったのか？

2017年秋、GoogleChromeのアップデートの際、
WEBサイトにデータ送信できる入力フォームがあるページがSSL化されていないと
「保護されていません」という表示が出るようになりました。

この時点では、あくまでデータ送信を行うページのみへの警告でしたが、
2018年7月のアップデートでは、SSL化されていない全てのWEBサイトのページに対して
「保護されていません」という警告が出る事になりました。

これを回避するためには常時SSL化（サイト内全てのページをhttps://～で接続できるようにする）しか
方法がありません。
現在、Googleではこの常時SSL化を強く推奨しており、
今後さらに目立つ警告が出る、アクセスが制限される、SEOに影響が出る…などの可能性も考えられるため、
常時SSL化は必須となります。

どうやったらSSL対応ができるの？

常時SSL化をするためには「SSLサーバ証明書」という証明書が必要になります。
証明書、といっても紙などでは無く、SSL通信の暗号化に必要な電子証明書です。
この証明書には認証レベルの違いで3つの種類があります。

ドメイン認証SSL

ドメイン名の所有名義が確認できれば、個人でも取得できる。
発行までのスピードも速い。
価格は年間数千円～30,000円程度。

企業実在認証SSL

Webサイトの運営組織名、住所を証明書に含めるタイプ。
運営組織の法的登記の有無を確認した上で発行される。
価格は年間50,000～90,000円程度

EV SSL

組織の法的・物理的実在性を含めるなど、最も厳格な審査が行われるタイプ。
視覚的にもわかりやすく、アドレスバーが緑色になり、運営組織が表示される。
価格は年間100,000円程度～

種類は違えど、暗号化強度は同様となります。
使用されるサイトの用途によってどのタイプが最適なのかを判断します。

この証明書をWebサーバーにインストールすることで
URLがhttps：//～でアクセスできるようになり、暗号化通信を行うことが可能になります。

認証レベルによって審査の時間が必要だったり、
ECサイト構築のサービスでは基本的にSSL化されているものや、
サーバー費用内でドメイン認証SSLが適用できるレンタルサーバーも増えており、
認証レベル、費用面、導入のしやすさなどで選ぶのも良いかと思います。

一般ユーザーが安心してWEBサイトを訪問できるように、
まだSSL化されていないサイトは早めの対応をお勧めします。

Written by Somekawa