ウェブと食べ物と趣味のこと

読者です 読者をやめる 読者になる 読者になる

ウェブと食べ物と趣味のこと

格安SIMのこと、windows10、迷惑メールネタ、写真ネタなど。困った方の参考になる記事を心掛けます。

最近何かと話題になることの多いSSLについてまとめてみた

セキュリティ

スポンサードリンク

f:id:photoblg:20160415014216j:plain

こんにちは。SSLって知ってますか?

先日Yahoo!JAPANの全サービスのSSL化など発表になりました。

web-tan.forum.impressrd.jp

話題のLine Bot開発にもSSLが必須だといいます。

ascii.jp

わからない人にとってはSSLって「???」かと思います。どんなものなのか、わかりやすく説明してみます。

SSLって何?

SSLはSecure Sockets Layer(せきゅあ そけっと れいやー)の略でインターネットのデータ通信を暗号化する技術。

暗号化をすることでインターネットショッピング時のクレジットの情報など個人情報を覗き見されることを防ぐ。

つまり安全にインターネットをするために必要な仕組みと言えます。

SSLサーバー証明書の2つの役割

SSLを利用するには、ウェブサーバーにサーバー証明書をインストールする必要があります。

サーバー証明書は信頼のある第三者機関(認証局)が発行する電子的な証明書で次の2つの役割を持っている。

  • ウェブサイト所有者の証明
  • 通信データの暗号化

ウェブサイト所有者の証明

ウェブサイトの運営者が証明書に表示されているドメイン(サーバー)の所有者であることを証明します。

ブラウザのURL横の鍵マークをクリックすることで証明書の情報が閲覧できます。

Firefox

f:id:photoblg:20160414235636j:plain

Google Chrome

f:id:photoblg:20160415000334j:plain

Microsoft Edge

f:id:photoblg:20160415000801j:plain

通信データの暗号化

ブラウザとサーバー間のデータ通信をを暗号化。第三者からの通信情報の盗聴を防ぎ、安全にデータを送受信できます。

なぜ今必要なのか?

f:id:photoblg:20160415001526p:plain

近年、スマートフォンやタブレットの普及、公衆無線LAN(Wi-Fi)スポットの拡大により、屋外で手軽にインターネットサービスを利用できるようになりました。しかし、公衆無線LAN を利用した通信は送受信中のデータを第三者に覗き見されるリスクが高いため、常にデータを暗号化した上で送受信する常時SSLが必要になってきています。

引用:Yahoo! JAPANサービスは常時SSL(AOSSL)に対応します - Yahoo! JAPAN

その他、SSL化が進んでいる理由にウェブページの表示を高速化できる仕組み(HTTP/2プロトコル)の存在がある。この仕組みを利用するためにはSSLの通信が必要だからだ。

SSL化が進むと何か影響はあるの?

YahooはWeb APIという外部サイトからもYahooのデータを利用できる仕組みを提供しているため、利用しているサイトはSSL化に伴い修正する必要がある。

その他、ウェブ管理者の影響が大きいのはアクセス解析で検索キーワードがわからなくなることでしょう。(恐らく)

Googleが2012年ごろ検索ページをSSL化したことにより検索キーワードが全てnot providedになったのは記憶に新しいですが、遂に全部なってしまうのか・・・。という気持ちです。

値段はピンキリ

権威のある機関(認証局)の証明書はなかなか高く、シマンテック・ウェブサイトセキュリティ(旧日本ベリサイン)などは一番安くても81,000円~/年となかなかのお値段。

一方で1000円弱で契約できる証明書もある。

何が違うの?

f:id:photoblg:20160415011349g:plain

引用:SSLサーバ証明書の選び方|SSLサーバ証明書 ジオトラスト

認証にはレベルが3段階あり、レベルが上がるほど信頼性が高まります。

  • ドメイン認証(レベル1)・・・ドメインの所有者のみ確認、認証
  • 企業認証(レベル2)・・・実在する組織を確認、認証
  • EV認証(レベル3)・・・企業認証に加え第三者機関のデータベース他、確認、認証

f:id:photoblg:20160415012328p:plain

引用:SSLサーバ証明書の選び方|SSLサーバ証明書 ジオトラスト

より信頼性を求めるもの以外はドメイン認証でも問題ない。

無料のSSL

2016/4/12 無料で使えるサーバー証明書Let's Encryptの正式サービスが開始された。

Line Botの開発トライアルアカウントの募集と近かったため、注目度も高い。(追記:Line botではLet's Encryptのサーバー証明書は使えないです。)

無料の反面、期限が3か月と短いため更新する手間がかかるのは痛いところ、ただ今回のLine Botのようにちょっとしたお試しで使いたい場合にはありがたい。

letsencrypt.org

最後に

Google、Twitter、FacebookそしてYahoo!と大規模サイトのSSL化が進んでいます。そのうちはてなブログもSSL化されるのかもしれないですね。

いや、サーバー証明書はドメインに対して発行されるので独自ドメインのユーザーは自己負担になるかな!?どうなるんでしょうねー。

ざっくりまとめてみましたが、わかりましたでしょうか?今回運営側の話を中心にしましたが、ウェブサービスを利用する際にも、そのサイトが怪しくないか気を付けてみるクセをつけたいものです。

スポンサードリンク