SSLとは?

SSL(Secure Socket Layer)とは、インターネット上で情報を暗号化して送受信するプロトコル(protocol:通信手順)のことで、たとえば、ホームページ上から名前などのデータを送信するとき、暗号化して、途中で誰かに盗み見られても、そのデータを読めないようにする仕組みです。

サイトや、特定のページにアクセスしたとき、URLが「https://」で始まっていたら、SSLを利用しているということがわかります。

SSLには、共用SSLと、独自SSL(専用SSL)があります。

共用SSL

共用SSLとは、レンタルサーバー会社が用意しているSSL用のスペース(場所)を利用して、SSL暗号化通信を行うことです。
今は、ほとんどのレンタルサーバーが共用SSLを備えていて、SSL暗号化通信をしたいページ(と、そこから読んでいる全てのファイル)を、指定の場所(ディレクトリ内)に置くだけで、SSLが使えます。

URLが「http://」で始まっている独自ドメインのホームページを見ていて、メールフォームを開いたとき、URLが別のドメイン(サーバー会社のドメイン)になって、その先頭が「https://」になっていることがありますが、それは、共用SSL内にメールフォームを置いてある、ということです。

また、一部のショッピングサイトで、購入ボタンをクリックしたとき、新しいショッピングカートの画面が開いて、その先頭が「https://」になっていることがありますが、それも、レンタルショッピングカート会社が提供している共用SSLを使っているということになります。

独自SSL

独自SSLとは、独自ドメインで(使っているディスクスペースで)、SSL暗号化通信を行うことです。

また、独自ドメインのサイトの全てのページのURLが、「https://」で始まっている場合は、常時SSLと呼ばれています。

銀行などのホームページでは、ログイン前とログイン後で同じドメインですが、それは、独自SSLを使っていて、且つ、常時SSLだからです。

独自SSLを使うためには、通常、そのサイトの安全性を証明する、下記のいずれかの証明書を、第三者機関(認証機関)から発行してもらいます。

  1. ドメイン認証(ドメイン登録者の確認で発行される証明書)
  2. 企業認証(サイト運営組織の実在性を証明する証明書)
  3. EV認証(組織の実在性と所在地を証明する証明書、ブラウザのアドレスバーが緑になる)

これら3つの認証レベル(信頼性)は、下にいくほど高くなり、その分、証明書発行料も高額になります。

SSLの誤解

ときどき、メールフォームに、「このページから送信された情報は、SSLで保護され~」といった文言を見かけます。それ自体は正しいのですが、実はその文言、けっこう誤解を招いているようですので、少し補足します。

まず、繰り返しになりますが、SSLは、サイト上のデータのやりとりを保護し、たとえ途中で誰かに盗み見られても、そのデータを読めないようにする仕組みです。

銀行のシステムやショッピングカートのように、口座番号・クレジットカード番号・パスワード等を入力して送信したり、その結果を表示したりするためには、必須の機能です。

そのイメージがあるからでしょうか、メールフォームに「SSL」という文字やシールが載っているだけで、それと同様のことがメールのやり取りでも行われると思ってしまいがちです。

しかし実際には、SSLで保護されるのは、ユーザーのパソコンと、メールフォームが置かれているウェブサーバーの間だけです。

それ以外の、

  • メールフォームが置かれているウェブサーバーと、ユーザーのメールサーバーの間
  • ユーザーのメールサーバーと、ユーザーのパソコンの間

は、メールフォームに載っている「SSL」という文字やシールの、対象外です。

なので、いくらメールフォームがSSLで保護されていても、メールで送った時点でSSLからはずれて、その内容は、万が一誰かに盗み見られたら、丸見えなのです。
(そのユーザーが、SSLメールを使ってれば、ユーザーのメールサーバーと、ユーザーのパソコンの間は、別のSSLで保護されます。)

パスワードはメールで流すな」といった注意を聞いたことがあると思われますが、それも同じ理由からです。

これに関して、図入りで、とても詳しい記事を見つけましたので、リンクしておきます。

「メールを暗号化している」の70%が、SSLを暗号化と誤解
ワークスタイル – nikkei BPnet

それでも、「SSLで保護され~」は、大切

フォームメールにおけるSSLの誤解について記したわけですが、「SSLで保護され~」の文言は、嘘でも間違いでもありませんし、それを見て、よくわからないけど安心感を持つユーザーも大勢おられます。
なので、SSLを使っているのであれば、「SSLで保護され~」の文言は、ぜひ載せましょう。

※このページの内容は、[ホームページ引っ越しサービス]を運営しているサーブ代表・山田の、著書、コラム、講習、個別相談、メールマガジン等の内容を再編集したものです。

SSLについて追記

Googleが、常時SSLを推奨

2014年8月7日、Googleの「ウェブマスター向け公式ブログ」で、

HTTPS をランキング シグナルに使用します
ユーザーがもっと安全にサイトを閲覧できるよう、すべてのサイト所有者の皆様に HTTP から HTTPS への切り替えをおすすめしたいと考えています。

という記事が公開されました。

このランキングの変更は、グローバルでクエリの 1% 未満にしか影響しませんが、これから長い期間をかけて強化していきます。全体的に見ると、このシグナルは良質なコンテンツであるといった、その他のシグナルほどウェイトは大きくありません。HTTPS は、優れたユーザー エクスペリエンスを生み出す多くの要素のうちの 1 つです。
今後、より多くのウェブサイトで HTTPS が使用されることを期待しています。ウェブの安全性をさらに強化しましょう。

とのことですので、常時SSL重要度は増していると言えるでしょう。

無料の独自SSL(常時SSL)

最近、独自SSL(ドメイン認証型SSL証明書)が無料というレンタルサーバーが増えてきました。

XSERVER
wpX
CORESERVER
LOLIPOP
mixhost

 

これらのサーバーの利用者なら、新たな申込みをする必要もなく、サーバーの管理画面で設定するだけで、独自SSLを使って、常時SSLを実現できます。

レンタルサーバーの選び方

サーバー料金の違い(レンタルサーバーの選び方)