SSLとは?
SSL(Secure Socket Layer)とは、インターネット上で情報を暗号化して送受信するプロトコル(protocol:通信手順)のことで、たとえば、ホームページ上から名前などのデータを送信するとき、暗号化して、途中で誰かに盗み見られても、そのデータを読めないようにする仕組みです。
サイトや、特定のページにアクセスしたとき、URLが「https://」で始まっていたら、SSLを利用しているということがわかります。
SSLには、共用SSLと、独自SSL(専用SSL)があります。
共用SSL
共用SSLとは、レンタルサーバー会社が用意しているSSL用のスペース(場所)を利用して、SSL暗号化通信を行うことです。
今は、ほとんどのレンタルサーバーが共用SSLを備えていて、SSL暗号化通信をしたいページ(と、そこから読んでいる全てのファイル)を、指定の場所(ディレクトリ内)に置くだけで、SSLが使えます。
URLが「http://」で始まっている独自ドメインのホームページを見ていて、メールフォームを開いたとき、URLが別のドメイン(サーバー会社のドメイン)になって、その先頭が「https://」になっていることがありますが、それは、共用SSL内にメールフォームを置いてある、ということです。
また、一部のショッピングサイトで、購入ボタンをクリックしたとき、新しいショッピングカートの画面が開いて、その先頭が「https://」になっていることがありますが、それも、レンタルショッピングカート会社が提供している共用SSLを使っているということになります。
独自SSL
独自SSLとは、独自ドメインで(使っているディスクスペースで)、SSL暗号化通信を行うことです。
また、独自ドメインのサイトの全てのページのURLが、「https://」で始まっている場合は、常時SSLと呼ばれています。
銀行などのホームページでは、ログイン前とログイン後で同じドメインですが、それは、独自SSLを使っていて、且つ、常時SSLだからです。
独自SSLを使うためには、通常、そのサイトの安全性を証明する、下記のいずれかの証明書を、第三者機関(認証機関)から発行してもらいます。
- ドメイン認証(ドメイン登録者の確認で発行される証明書)
- 企業認証(サイト運営組織の実在性を証明する証明書)
- EV認証(組織の実在性と所在地を証明する証明書、ブラウザのアドレスバーが緑になる)
これら3つの認証レベル(信頼性)は、下にいくほど高くなり、その分、証明書発行料も高額になります。
SSLの誤解
ときどき、メールフォームに、「このページから送信された情報は、SSLで保護され~」といった文言を見かけます。それ自体は正しいのですが、実はその文言、けっこう誤解を招いているようですので、少し補足します。
まず、繰り返しになりますが、SSLは、サイト上のデータのやりとりを保護し、たとえ途中で誰かに盗み見られても、そのデータを読めないようにする仕組みです。
銀行のシステムやショッピングカートのように、口座番号・クレジットカード番号・パスワード等を入力して送信したり、その結果を表示したりするためには、必須の機能です。
そのイメージがあるからでしょうか、メールフォームに「SSL」という文字やシールが載っているだけで、それと同様のことがメールのやり取りでも行われると思ってしまいがちです。
しかし実際には、SSLで保護されるのは、ユーザーのパソコンと、メールフォームが置かれているウェブサーバーの間だけです。
それ以外の、
- メールフォームが置かれているウェブサーバーと、ユーザーのメールサーバーの間
- ユーザーのメールサーバーと、ユーザーのパソコンの間
は、メールフォームに載っている「SSL」という文字やシールの、対象外です。
なので、いくらメールフォームがSSLで保護されていても、メールで送った時点でSSLからはずれて、その内容は、万が一誰かに盗み見られたら、丸見えなのです。
(そのユーザーが、SSLメールを使ってれば、ユーザーのメールサーバーと、ユーザーのパソコンの間は、別のSSLで保護されます。)
「パスワードはメールで流すな」といった注意を聞いたことがあると思われますが、それも同じ理由からです。
これに関して、図入りで、とても詳しい記事を見つけましたので、リンクしておきます。
「メールを暗号化している」の70%が、SSLを暗号化と誤解
ワークスタイル – nikkei BPnet
それでも、「SSLで保護され~」は、大切
フォームメールにおけるSSLの誤解について記したわけですが、「SSLで保護され~」の文言は、嘘でも間違いでもありませんし、それを見て、よくわからないけど安心感を持つユーザーも大勢おられます。
なので、SSLを使っているのであれば、「SSLで保護され~」の文言は、ぜひ載せましょう。
※このページの内容は、[ホームページ引っ越しサービス]を運営しているサーブ代表・山田の、著書、コラム、講習、個別相談、メールマガジン等の内容を再編集したものです。
SSLについて追記
Googleが、常時SSLを推奨
2014年8月7日、Googleの「ウェブマスター向け公式ブログ」で、
HTTPS をランキング シグナルに使用します
ユーザーがもっと安全にサイトを閲覧できるよう、すべてのサイト所有者の皆様に HTTP から HTTPS への切り替えをおすすめしたいと考えています。
という記事が公開されました。
このランキングの変更は、グローバルでクエリの 1% 未満にしか影響しませんが、これから長い期間をかけて強化していきます。全体的に見ると、このシグナルは良質なコンテンツであるといった、その他のシグナルほどウェイトは大きくありません。HTTPS は、優れたユーザー エクスペリエンスを生み出す多くの要素のうちの 1 つです。
今後、より多くのウェブサイトで HTTPS が使用されることを期待しています。ウェブの安全性をさらに強化しましょう。
とのことですので、常時SSL重要度は増していると言えるでしょう。
無料の独自SSL(常時SSL)
最近、独自SSL(ドメイン認証型SSL証明書)が無料というレンタルサーバーが増えてきました。
広告
これらのサーバーの利用者なら、新たな申込みをする必要もなく、サーバーの管理画面で設定するだけで、独自SSLを使って、常時SSLを実現できます。