楽しく働くフクミのブログ:FAN&FUN

楽しく働くフクミのブログ

インターネットのSSLとかhttpsとか何ですか?…怖いんですけど

約7分

インターネットを見ていたら、いきなりこの様なエラー画面が出て来て心がザワザワした事有りませんか?

またニュースでPCがハッキングされたの、インターネットでの通信が傍受されたのと聞き、やっぱインターネットは怖いなと思ったりしていませんか?

要はその様な事を起こり辛くする為のインターネット上の暗号化技術、それがSSLなのです!



暗号化とは?

先ず、暗号化されていない丸裸の状態で、名前や住所などの個人情報、各サイトに入る為のアカウントやパスワードの情報、決済に必要なクレジットカードの情報などの重要情報を提出していると言う現実…恐ろしく感じていませんか?
悪意を持つ第三者が、インターネットの技術を駆使して盗み見ようとしているかもしれません。
だから若し万が一に第三者に見られたとしても、不規則に見える内容に変換する事で第三者に読み取られない様にするのが暗号化されていると言う状態になります。

暗号化のやり取りの基本的な仕組み


  • AさんがBさんに大切なものを送りたいので、Cさんに配送をお願いする
  • でも手癖の悪いCさんは、鍵が掛かっていない状態で中に大切なものがあると盗んでしまう

例えばこんな状態が有るとしましょう。
AさんもBさんも、それぞれしか開けられない錠前と鍵のセットを持っているとして、あなただったらどの様な手順を踏んで防ぐでしょうか?


  1. Aさんは自分の錠前Aを開いた状態で箱に入れ、Bさんに送る
     →箱はロックされていない
     →Aさんは錠前Aの鍵を持っている
  2. Bさんは箱を開き、自分の錠前Bを開けた状態で箱の中に入れ、錠前Aで箱をロックしてAさんに送る
     →Bさんは錠前Bの鍵を持っている
     →箱は錠前Aでロックされている
  3. Aさんは錠前Aを自分の鍵Aで開け、箱の中から開いた錠前Bを手に入れる
  4. Aさんは大切なものを箱の中に入れ、錠前BでロックしてBさんに送る
     →箱の中には大切なものが入っている
     →箱は錠前Bでロックされている
  5. Bさんは錠前Bを自分の鍵Bで開け、箱の中から開いた大切なものを手に入れる

どうでしょうか?頭の中で整理出来ましたでしょうか?

暗号化ではこの様な面倒なやり取りが基本となり、インターネット上では一般的に共通鍵暗号方式公開鍵暗号方式が使われています。
インターネット上ではそれらの説明が多々有りますが、錠前は無くて全て◯◯鍵みたいに説明するので理解がし辛いかもしれません。

SSLとは?TLSとは?

SSLTLSも、インターネット上で通信を暗号化する為の決め事(プロトコル)であり、それぞれの頭文字を繋ぎ合わせた呼称となります。


  • SSL ・・・ Secure Sockets Layer
  • TLS ・・・ Transport Layer Security

元々の暗号化プロトコルにはSSLしか存在しませんでしたが、SSLの脆弱性を改善する過程でTLSへと移行されていきました。
SSLは3.0で開発が終わり、SSL3.0を引き継いで若干アップデートされたものがTLS1.0となり、次のバージョンのTLSは1.3が最新です。

だからSSLのバージョンアップ版がTLSであり、恐らく現在SSLと呼んでいるほとんどは、正確にはTLSの事を指しているのだと思われます。
両方とも同じ延長線上のバージョンが違うだけの暗号化プロトコルであり、SSLが有名になり過ぎたのもあるので、暗号化プロトコルの事はSSL/TLSの様に記載する事が多くなって来た様ですね。

httpsとは?

URLの頭に付く、httphttps
そもそものhttpとは何の略か知っていますでしょうか?


  • http ・・・ Hyper Text Transfer Protocol
  • https ・・・ Hypertext Transfer Protocol Secure

違いは最後のs、Secure=安全なが有るか無いかですよね?
即ちhttpsと言うURLはSSL/TLSで通信が暗号化されて安全と言う事を表しているのです。
ブラウザではわかり易く鍵のマークが出てくるから、見るからに安心ですよね!

そもそものインターネットでの危険性

それではSSLで暗号化されていれば、果たしてインターネットはそれで十分安全と言えるのでしょうか?

インターネットにはこれらの3つのリスクが有ると言われています。


  1. 盗聴
  2. 聴こえると言うイメージでは無く、インターネット上での通信情報を盗み見られるリスクです
  3. 改ざん
  4. 勝手にサイトの情報や通信情報を書き換えられてしまうリスクです
  5. なりすまし
  6. そもそも相手が思っていた相手と違っていたと言うリスクです
    所謂フィッシング詐欺のリスクです

今迄の情報から、どうやらSSLで暗号化されれば通信上のデータは盗聴や改ざんに対して大丈夫そうかな…と思われた方は大正解です!
しかしながら改ざんもサイト情報が改ざんされている場合は、そもそもサーバーに侵入されているので大きな別問題となります。
改ざんされているだけでなく、サーバー上の個人情報など大切な情報を抜き取られていたり、大問題が発生しているかもしれません…が、とても難しく別次元の話となりますし、運営者側の話となりますのでここでは割愛させてもらいます。

残る問題となるリスクは…そう、なりすましですね!
そのなりすましを防ぐ為の仕組みが、実は次に紹介するSSL証明書なのです!

SSL証明書

このSSL証明書がインターネット上での身分証明書代わりとなりなりすましを防ぎます。
SSL証明書は公的に発行されるものでは無いので、信頼が出来る認証局を選ぶ事が重要となります。

因みに現在のフクミのコーポレートサイトはセキュアコア(株)のサイトシールとドメイン認証を導入しています。

セキュアコアのサイトシール
リンク先でのドメイン認証の表示

しかしながら実はこの様なドメイン認証だけでは完璧では無く、SSL証明書には三段階が有るのです。


  1. ドメイン認証型(DV:Domain Validation)
  2. 企業認証型(OV:Organization Validation)・・・法的な実在証明
  3. →リンク先に飛べばSSL証明書が見られる
  4. EV SSL証明書(EV:Extended Validation)・・・厳格な調査+フィッシング詐欺防止
     →緑のアドレスバーになり、画面遷移せずにブラウザ上のどこかで組織情報も表示される
  5. ※①から③になるにつれて信頼性は高く、値段も高くなっていく
     →クレジットカード情報などの重要情報を多く扱うサイトにはEVが好ましい

実はDVだとそのドメインとの通信上でのなりすましは出来ませんが、そもそもそのドメインを偽物が申請すると言うなりすましは可能なのです。
それをOV以降では認証局はきちんとその組織が存在しているか確認し、しかも申請者がその組織に所属しているか確認するので、申請のなりすましも不可能です。

コストとの兼ね合いも有りますので、最終的にはそれぞれのウェブサイトの目的を考慮して、どこまでのSSL証明書が本当に必要なのか検討した方が良さそうです。
実際、大手銀行もBtoBでは行っていますが、BtoCやクレジット会社ではSSL証明書の対応はあまりみつける事は出来ません。
それらは既に長い間ウェブサイト運営をしている既成事実の積み重ねが、実在証明の代わりになっているからかもしれません。

無料のSSLと有料のSSLの違い

結論から言うと、SSL化されてURLがhttpsとなっていれば、暗号化の強度はどれも変わりません!
有料のSSLであっても、SSL証明書が有っても、SSL証明書がEVであっても、暗号化自体の強度には無料のSSLと違いは存在しないのです!

だからSSLで暗号化さえされていれば、少なくともインターネット通信上の盗聴や改ざんに関しては無料版で十分なのです。
今や大手レンタルサーバーでは無料でSSLを提供しているので、簡単にSSL化する事が出来るのです!

無料のSSL証明書も存在する

SSL証明書は大抵の場合は、認証局が有料で行っているサービスとなります。
しかしながら実は、米国の非営利団体が無料でLet’s Encryptと言うSSL証明書を発行しているのです!

但しやはり無料と言う事も有り、自分で行わなければならない作業が多いですし、更新も半年毎に手動で行わなければならないので、腕に多少は自信がある人にしかオススメできません。

この他にも様々なサーバー会社が無料で発行しているSSL証明書も有る様なので、必要に応じて探してみて下さい。

SSLのまとめ

GoogleでもSSL化していないウェブサイトは、信頼が低いと言う事で評価を下げている様ですから、SSL化すれば若干ならずのSEO効果は有ると言われています。

また冒頭の画像の様なスクリーンが出て来て、折角の訪問者が辿り着けない事も想定されてしまいます。

条件さえ揃えば比較的簡単に、しかも無料で出来るかもしれないSSL化。
未だhttpのままでSSL化していないウェブサイトを運営されている方は、訪問者の為にも是非採用してみて下さい!