SSL/TLSとは?常時SSL化のメリットと導入手順を完全解説!

 ネットサーフィンをしていると、Webブラウザのアドレスバーに鍵のアイコンが表示されたり、アドレスバーが緑色になったりします。こうしたWebサイトは、「SSL/TLS」によって通信を暗号化しています。以前はショッピングサイトの決済ページなどで見られましたが、最近ではWebサイトのページを全て暗号化する「常時SSL化」サイトが増えています。ここでは、SSL/TLSの基礎知識から証明書の選び方、導入、運用まで、まとめて紹介します。

1. SSL/TLSとは

1-1 概要

 WebブラウザでWebサイトを閲覧するとき、ブラウザはサーバと通信を行います。もともとこの通信は暗号化されていないのが基本でした。しかし、インターネットが普及して様々なことに活用されるようになると、通信が盗み見(盗聴)されたときのリスクが高まりました。
 例えば、ショッピングサイトで商品を購入する際に氏名や住所、電話番号、さらにはクレジットカード情報などを入力した場合に通信を盗聴されると、これらの重要な情報が盗まれてしまいます。そこで、この通信を暗号化できるようにしました。この暗号化に使用されるのが「SSL」あるいは「TLS」という技術です。

1-2 SSL/TLSとは

 SSLは「Secure Sockets Layer」の略、TLSは「Transport Layer Security」の略で、暗号化通信はSSLから始まってバージョンアップを重ね、SSL 3.0の次のバージョンからはTLS 1.0と名前が変わりました。SSLとTLSは、基本的に同じものなのです。SSLは米Netscape社により開発され、TLSは標準化団体である「IETF:Internet Engineering Task Force」により策定されています。
 SSLが使われていた時期は、通信を暗号化することを「SSL化」と呼んでいましたが、TLSが使われるようになると「SSL/TLS化」と呼ばれるようになりました。バージョンアップが必要だった理由には、脆弱性の存在が挙げられます。SSL/TLSは脆弱性が発見されるごとにバージョンアップされ、現在はTLS 1.2の利用が推奨されています。
マイクロソフトもTLS1.2以降の必須化を進めています。
マイクロソフトTechNetブログ: Office 365 での TLS 1.2 の必須化に対する準備

 SSL/TLSにより暗号化されると、Webブラウザのアドレスバーに表示されるURLアドレスが「http://」から「https://」に変わります(表示されないWebブラウザもあります)。httpはWeb閲覧用のプロトコルですが、暗号化されることで「s」が追加されます。このことから、「SSL/TLS化」のことを「HTTPS化」と呼ぶこともあります。さらに、Webサイトの全てのページをSSL/TLS化することを「常時SSL化」と呼んでいます。
全世界のインターネットトラフィックのSSL化は増え続け、2017年末の段階で56%に達しています。

※出所 http://httparchive.org/index.php

2. SSL/TLSを導入するメリット

 SSLはなぜ必要なのでしょうか?WebサイトをSSL/TLS化によって暗号化することは、いくつかのメリットがあります。

2-1 安心してインターネットを利用するため

 まずは前述の通り、WebブラウザとWebサイト間の通信を暗号化することによる盗聴対策です。これにより、ショッピングサイトでも安心して個人情報や決済情報を入力できます。
 最近、無線LAN通信(Wi-Fi)で使用される暗号化プロトコル「WPA2」に暗号を解読される脆弱性が確認されましたが、SSL/TLSにより暗号化されていれば、WPA2を解読されても安全です。

2-2 なりすまし対策のため

 SSL/TLS化は「なりすまし」対策にも有効です。SSL/TLS化をする際には、Webサーバに「SSLサーバ証明書」を導入します。Webブラウザでは、SSL/TLS化されたWebページのSSLサーバ証明書を参照することができます。SSLサーバ証明書には複数の種類がありますが、その種類によっては企業名などを確認できるので、正式なWebサイトかどうかを判断できます。

2-3 フィッシング対策のため

 SSL/TLS化されたWebページから別のドメインのページに遷移する際には、Webブラウザ上に警告が表示されます。これにより、意図しないWebサイトに飛ばされることを防ぐことができます。この機能によって、正式なWebサイトが改ざんされて、悪意あるWebサイトへ誘導されてしまうことも、同様に防ぐことができます。

2-4 ユーザビリティ向上のため

 以前はデータを暗号化したり復号したりするため、SSL/TLS化すると通信速度が低下するという問題がありました。しかし、HTTPのバージョンが「HTTP/1.1」から「HTTP/2」に変わったことでデータの処理方法が変わり、非SSL/TLS通信よりもSSL/TLS通信の方が高速な状況になっています。Webサイトに訪れたユーザーに対して通信速度でストレスを与えないことも、SSL/TLS化のメリットのひとつといえます。

2-5 サイトのSEO対策のため

 WebサイトをSSL/TLS化することで、検索結果がより上位になる可能性もあります。検索サービスの大手であるGoogleは、Webサイトの常時SSL化を推進しています。そこで、Googleの検索順位を決める際のアルゴリズムにおいて、SSL/TLS化したページを優遇するとしています。
 またGoogleは、同社が提供するWebブラウザ「Chrome」において、非SSL/TLS化ページを表示したときに、アドレスバーに「保護されていません」と警告を表示します。アクセスしてきたユーザーに不安を与えないことも、SSL/TLS化のメリットといえるでしょう。

3. SSL証明書の種類と見分け方

3-1 SSLサーバ証明書の種類

 WebサイトをSSL/TLS化する際には、SSLサーバ証明書を導入する必要があります。このSSLサーバ証明書は、実は個人でも作成することができます。これは誰にもWebサイトの信頼性を証明していないので「オレオレ証明書」とも呼ばれ、主にインターネットに公開しない社内用のサイトに使用されます。インターネットに公開するWebサイトであれば、ちゃんと信頼性を証明できることが重要です。
 Webサイトを公開している企業や団体の信頼性を確認し、SSLサーバ証明書によって証明するのは認証局で、「CA:Certificate Authority」とも呼ばれます。そして、認証局が発行するSSLサーバ証明書は、申請した企業や団体の実在性などの確認レベルによって「ドメイン認証(DV)」「企業認証(OV)」「EV認証(EV)」の3種類があります。

3-1-1 DV証明書

 DV証明書のDVは「Domain Validation 」の略で、申請者のドメインが実在するかどうかのみを確認します。ドメインさえ取得しておけば審査をパスすることができ、しかも証明書の費用が年間3万円前後と安価で、最近では無料のものも登場しています。このため、サイバー犯罪者が導入するケースも増えています。正式なWebになりすましたフィッシングサイトでも、SSL/TLS化されていれば安全と判断するユーザーが多いためです。

3-1-2 OV証明書

 OV証明書のOVは「Organization Validation」の略で、ドメインだけでなくWebサーバ運営者の実在性も確認します。申請の際には、登記簿謄本や企業などの実印を押印した申請書、実印の印鑑証明書が必要になります。認証局は、会社や団体の実在確認だけでなく、申請者がその組織かどうかを問い合わせて確認します。年間費用も5万円前後と高くなりますが、その分サイバー犯罪者も手を出しにくく、DV証明書よりも高い信頼性があるといえます。

3-1-3 EV証明書

 EV証明書のEVは「Extended Validation」の略で、もっとも厳格な確認が行われます。OV証明書と同様の確認に加え、例えば申請責任者と技術担当者の任命が必要で、認証局は設立日や銀行との取引状況まで調べます。こうした審査に統一基準があることもEV証明書の特徴となっています。年間費用も10万円前後ともっとも高価で、それだけ信頼性も高くなります。また、より強力な暗号方式を選ぶこともできるケースもあります。

証明書の種類

年間費用

備考

DV認証

3万円前後

ドメインさえあれば、誰でも取得可能

OV認証

5万円前後

運営者の実在性も確認するため、サイバー犯罪者に悪用されにくい

EV認証

10万円前後

もっとも厳格な確認がされ、信頼性が高い

3-2 SSLサーバ証明書の見分け方

 SSLサーバ証明書は3種類ありますが、ユーザーはその3種類をどのように見分ければいいのでしょう。いずれもSSL/TLS化されているので、Webブラウザのアドレスバーには鍵のアイコンが表示され、URLアドレスも「https://」から始まります。
 もっとも分かりやすいのは、EV証明書です。EV証明書は統一の基準があるので、Webブラウザのメーカーも早々に差別化を図りました。その違いは、「アドレスバーが緑色になること」と、「アドレスバーに運営者の名前が表示されること」です。これらが表示されていれば、もっとも厳格な審査をパスした信頼性の高いWebサイトであるといえます。
 DV証明書とOV証明書の違いについては、Webブラウザによって表示に違いがあります。以下でWindowsでの「Internet Explorer」と「Chrome」での表示の違いを説明します。またこれらでは、証明書の内容も確認できます。

3-2-1 マイクロソフト「Internet Explorer」の場合

 証明書なし:アドレスバーに鍵のアイコンが表示されません。
 DV証明書:アドレスバーの右側に鍵のアイコンが表示されます。このアイコンをクリックすると、「?」のアイコンとともに「Webサイトの認証」と表示され、 認証されているドメイン名のみが表示されます。
 OV証明書:アドレスバーの右側に鍵のアイコンが表示されます。このアイコンをクリックすると、「?」のアイコンとともに「Webサイトの認証」と表示され、認証されているドメイン名と所在地が表示されます。
 EV証明書:アドレスバーの右側に緑色の鍵のアイコンが表示され、その横に、運営者の名前が表示されます。鍵のアイコンをクリックするとチェック済みのアイコンとともに「Webサイトの認証」と表示され、認証されている運営者名と所在地が表示されます。

3-2-2 Google「Chrome」(バージョン64)の場合

 証明書なし:アドレスバーの左側に「!」のアイコンが表示されます。鍵のアイコンは表示されません。
 DV証明書・OV証明書:アドレスバーの左側に鍵のアイコンが表示され、クリックすると「保護された接続」と表示され、認証されているドメイン名が表示されます。
 EV証明書:アドレスバーおよび鍵のアイコンが緑色で表示され、運営者の名前が表示されます。
 なお、Googleでは2018年7月に公開予定の「Chrome 68」からは、すべての非SSL/TLSページで「保護されていません」と表示するとしています。

 SSLサーバ証明書の内容を確認するには、マイクロソフトの「Internet Explorer」の場合は、アドレスバーの右側にある鍵のアイコンをクリックし、「証明書の表示」をクリックします。Googleの「Chrome」の場合は、アドレスバーの左側にある鍵のアイコンをクリックし、「証明書」の「有効」をクリックします。
 証明書の内容が表示されるので、「詳細」タブをクリックし、「サブジェクト」をクリックすると、ドメインや運営者の名前、所在地などを確認できます。表示されるのがドメイン名だけならDV証明書、ドメイン名と運営者の名前、所在地が表示されればOV証明書であると判断できます。

4. SSL証明書の選択

4-1 運用サイト別の選択基準

 3種類のSSLサーバ証明書を上手に活用することで、常時SSL化を効率的に行えるようになります。ログインページやユーザー登録ページ、決済ページなど、個人情報や重要な情報を入力するページは、もっとも信頼性の高いEV証明書を適用します。ただ、ほとんどのページにログイン情報の入力エリアが表示されるページの場合、そのすべてに信頼性の高い証明書を適用することになるため、ページの構成に工夫が必要かも知れません。
 個人情報などの入力エリアのないページには、OV証明書を適用します。DV証明書は無料のものもあり、「なりすまし」の危険性があるため、対外的なページには使用せず、企業内でしか使用しないページに適用すると良いでしょう。このように、ページの特性に合わせて3種類のSSLサーバ証明書を適用することで、全体的なコストを抑えることができます。

4-2 ワイルドカード証明書

 また、SSLサーバ証明書には、証明書の枚数を抑えてコストを最適化できるものもあります。例えば「ワイルドカード証明書」では、本来はひとつのドメインに属する複数のサブドメインごとに必要な証明書を、1枚の証明書で適用できます。具体的には、Webサーバ用に「www.xxx.jp」、メール用に「mail.xxx.jp」、オンラインストア用に「shop.xxx.jp」というドメインがある場合、証明書のコモンネームを「*.xxx.jp」と設定することで、サブドメインもまとめてSSL/TLS化できます。

4-3 マルチドメイン証明書

 さらに「マルチドメイン(SANs)証明書」では、5つまでの異なるドメイン名を1枚の証明書でカバーできます。例えば、企業サイトとサービスのブランドサイトを異なるドメイン名で運用している場合に有効な証明書です。こうした証明書を組み合わせることで、証明書とコストを最適化できるのです。

5. SSL証明書の導入と運用

SSL証明書のおおまかな導入ステップは以下のようになります。

 

5-1 導入手順

 実際にSSLサーバ証明書を導入する際には、一般的に「CSRの作成」「SSLサーバ証明書の申し込み」「必要書類の送付」「SSLサーバ証明書の発行」「サーバへのインストール」の5段階の手順を踏みます。提供会社によっては、導入のためのマニュアルが用意されていたり、導入前に相談できるアセスメントサービスや、導入について詳しく教えてくれる導入支援サービスなども提供されていますので、こうしたサービスを利用するのもひとつの方法です。

5-2 申込、発行、有効期間

 CSRは「Certificate Signing Request」の略で、SSLサーバ証明書を発行するための証明書署名要求のことです。申請書のようなもので、DV証明書、OV証明書、EV証明書によって記入内容が異なります。CSRを作成したら、申し込みを行います。SSLサーバ証明書を提供するサービスのほとんどは、Web上で申し込みが行えます。
 申し込みを行うと、必要な書類などの連絡がありますので、書類を揃えて送付します。その書類を元に審査が行われ、SSLサーバ証明書が発行されます。発行された証明書はサーバなどにインストールしますが、機器などによってインストール方法が異なりますので、手順書などを参照してください。
 SSLサーバ証明書の申請から発行までの期間は、サービスや申請、入金のタイミングにもよりますが、DV証明書では早ければ30分ほどで発行されます。OV証明書では約1日、EV証明書では約3営業日で発行されます。SSLサーバ証明書の期限は、基本的には1年ですが、3年間有効のものもあります。期限切れに注意し、更新する際には暗号についての最新の情報をチェックしましょう。

6. まとめ

 SSL/TLSについて説明をしてきましたが、常時SSL化の波は今後も加速すると思われます。自社サイトの各ページをチェックして、未対応のページがある場合や認証レベルが適切でない場合は、見直しを進めていきましょう。

著者:マカフィー株式会社 マーケティング本部

[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス

 マカフィーでは、1,400人のIT担当者に年次アンケートを実施し、クラウド採用状況やセキュリティについて調査しました。
 調査の結果、クラウドの採用とリスク管理への投資を増やしている組織がある一方で、クラウドの採用に慎重なアプローチをしている組織が多いことがわかりました。
 本調査では、クラウドサービスの利用状況を分類し、短期投資の確認、変化速度の予測、重要なプライバシーおよびセキュリティ上の障害物への対応方法の概要を示しています。

 本レポートでは、クラウドの現状把握と今後の方向性、クラウド対応の課題やポイントを理解することができます。

<掲載内容>
■ 主要調査結果
■ 調査結果から言える方向性
■ 課題への対応
■ 変化への対応力
■ 考慮すべき点:安全なクラウドの採用で事業を加速