ブログでも必要なSSL/TLS化

セキュリティのアイキャッチ SSL/TLS

GoogleはHTTPのページは安全とは言えないのでSSLを導入してくださいという計画を遂行しています。自分でサーバーを契約して利用している人にとっては結構重要な話。

 

でもSSLの記事を書いているにもかかわらず導入していないなんてことにはしたくない!

 

どうもどうも、よくわからずSSLを導入した方が良いという情報に飛びついて、とりあえず設定だけはしたモストラです。

 

セキュリティの関係でSSLを導入して、暗号化させることで安心して利用できるようにしましょう。ということくらいはわかるのですが、無料と有料の差とかよくわからない。そしてなぜ推進されているのか。HTTPはそんなに危険なものになってしまったのか!

 

ということで、Googleがどういう発表をしているのか見て見ました!

 

と、その前に一つだけ

SSLという表記についてですが、従来のSSL3.0には重大な欠陥が見つかったことで、SSLは2014年10月に利用を禁止されました。え…?ってなりますよね。じゃー今話してるSSLってなに?ってことですが、TLS(Transport Layer Security)のことを指しています。

 

このTLSは何かと言うと、SSLをベースにして開発されたものがTLSです。なので、SSL同様、暗号化をして安心して利用できるようにするもの。利用する側にとっては名前くらいしか違いがないんじゃないかなと思います。

 

ではなぜ今もSSLと表記されることが多いのかというと、SSLという名前が定着してしまっているから。そのまま使っていこうという流れで使われているみたいです。

 

なので、SSLについて調べるときに少し勘違いが生まれる可能性があるので、これ以降はSSL/TLSという表記で統一したいと思います。

SSL化させる方法はこちらにどうぞ!

そもそもSSL/TLSってなに?

簡単に説明すると、SSL/TLSは送受信の情報を暗号化してセキュリティを高めるもので、それを証明するのに証明書が発行されています。SSL/TLSの目的は大きく分けて暗号化と認証です。

 

暗号化ではデータの送受信をする時に、ブラウザとサーバー間で暗号化し、個人情報を守ることで安全性を高めることができます。
ブログやサイトにきてくれた人たちのメールアドレスなどの個人情報を取り扱う場合は暗号化されている状態の方が好ましいということですね。これからセキュリティーポリシーの個人情報の取り扱いで書かれる文言とかにも影響してきそうですよね。どうなるんだろ。

認証ではサイトの所有者の情報を登録する必要があり、認証レベルによって実態があるかというドメイン認証から厳格に審査されて証明されるEV認証があります。SSL/TLSを導入しているかどうかはアドレスバーで「https」と表示されてその先頭には鍵のマークが表示されるので、簡単に確認することができるようになっています。

 

SSL/TLSについてグーグルが発表した主なもの

Googleは2014年8月6日に、SSL/TLS通信による暗号化をしたサイトを検索順位で優遇することを発表しました。この取り組みはすべてのサイト所有者とその利用者に対して安全な接続でサイトを利用してもらうことを目的としているんだとは思うのですが、検索のランキングにも影響しますよ!という触れ込み。「あ、そっち?」という印象を受けてしまったのは、しまっておこう。

httpsをランキングシグナルに利用します

 

2017年1月にはChrome56がリリースされて、パスワードやクレジットカード情報の入力を求めるウェブサイトにアクセスした際にSSL/TLSを導入していないサイトにはアドレスバーに「Not Secure(安全ではない)」の警告を表示するようになっています。今の時点でまだ対応していないというところは少ないとは思いますが、利用する側としてはしっかりとチェックしなくてはなと思います。

より安全なwebへの移行

 

2017年の10月にはGoogleのChrome62がリリースされる予定です。このリリースで何が変わるのかというと、HTTP接続のWebページに対して、アドレスバーに「Not Secure (安全ではない)」と警告を表示することになります。これはシークレットモードでHTTP接続しても警告表示されます。まだまだSSL/TLSを導入していないサイトなんていっぱいあるから今の時点で準備に取り掛かっているところもあるだろうけど、更新されていないサイトは「安全ではない」サイトとして表示されるんですね。

より多くの接続セキュリティを実現させるための次のステップ

 

 

なぜHTTPではダメなのか

従来のHTTPでは「なりすまし」「盗聴」「改ざん」のリスクがある。
一番身近といって良いのかわからないけど、フィッシング詐欺が有名ですね。見た目が全く同じ銀行口座のサイトを表示させて、IDやパスワードといった個人情報を盗まれて被害にあうという事件がニュースにもなっています。

 

対処方法としてはURLをしっかり見て不審な点はないかをチェックするなんて言われていましたが、そもそもURLを覚えている人の方が圧倒的に少ない (むしろいない…) 。利用に不安があるのなら利用者ではなくフィンシング詐欺をされている側が対策を講じてくれないと安心して使えないと思ってしまう。

 

そこを解決するためにもSSL/TLS証明書を導入することで、ブラウザによって表示の仕方が違いますが、URLを覚えていなくてもHTTPSの表示や鍵の表示、緑色で表示されているという違いでわかるようになっています。この表示は認証レベルによって表示のされかたが違うので、認証レベルの説明の下に書いておきます。

 

そのサイトが安全かどうかがわかりやすくなっているのはいいですね。リテラシーの問題もあるんですが、やっぱりネットのことって分からないことの方が多いので、できるだけわかりやす方向に持って行ってくれることを期待しています。

 

そういう意味ではHTTPのサイトがダメというわけではないけれど、HTTPSで保護されているサイトと比較すると安全じゃないってことになってしまいますね。危険というわけじゃないけど、安全ではない。急に問題を抱えたサイトみたいに受け取られてしまいそうなのが難点。

 

パスワードやクレジットカードを入力するときに「安全ではない」なんて言われたら少し躊躇してしまいますよね。入力しないと処理できないのに安全じゃないとか、どうすれば良いんだってなりそうです。私自身がその状況に出くわしていないので、利用している金融機関はそれ以前からしっかりと対応していたのでしょう。

 

よく利用しているジャパンネット銀行さんでは、2014年のSSL3.0に脆弱性が発見された時に、SSL3.0からTLS1.0に切り替えた、というお知らせがあるのでしっかりと対応されていました。
まぁ当たり前と言えば当たり前ですよね。セキュリティのあまい銀行にお金を預けるなんてことしたくないですし、そういうところには、まず預けないです。

 

金融機関で対応していないということはないので安心して利用できると思います。問題となるのは個人情報を取り扱うECサイトやプラットフォーム担っているサイト。

 

ここで1つ疑問。
個人のサイトとECサイトやプラットフォームというのはSSL/TLSは同じものを使うのだろうか。サーバによっては無料独自SSLのサービスが増えてきているけど、それでも良いのだろうか。疑問が絶えないので、SSL/TLSについて詳しく調べて見ました。

 

 

無料のSSLってどんなもの?

私が利用しているエックスサーバーは無料の独自SSLが利用できます。ロリポップでも今年の7月に新しいサービスとしてスタートさせていました。無料で利用できるというなら利用したいと、あまり深く考えずに登録したのですが、有料版もあって、そっちは結構高い。

じゃー何が違うのか。気になりますよね。

Let’s Encryptプロジェクトというものがあり、電子フロンティア財団というところが、電子証明書無料配布を行なっています。これに関しては別記事で、後日リンクを貼りたいと思います。

 

このプロジェクトを利用した無料の独自SSLとしてそれぞれのサーバーが提供しているようです。Let’s Encryptで導入できるのはドメイン認証のみになっています。企業認証やEV認証は取得できないので、他から有料の認証を受けるしかありません。

とはいえ、無料で利用することができるというのであれば、SSL/TLSを導入していないよりは、している方が断然いいので利用することをオススメします。

SSL/TLS証明書の確認方法のところで、エックスサーバーを利用しているこのブログの証明書を表示させているので、確認方法と合わせて見てみてください。

 

 

3つの認証レベル

SSL/TLSといっても3種類の認証レベルがあり、「ドメイン認証」「企業認証」「EV認証」に分けられます。
ドメイン認証 > 企業認証 > EV認証 の順番で厳格なものになっていきます。
とはいえ、暗号化についてはレベルの差はないので、個人ブログのドメイン認証でも大手企業のEV認証でも同じように暗号化されて守られます。

 

 

ドメイン認証

ドメイン認証はドメインの登録者を確認することで発行される証明書で、無料や格安の独自SSLのほとんどがこれに当たると思います。

 

無料、もしくは格安で提供されるSSL/TLSというのはお問い合わせフォームやイントラネット(内部ネットワーク)のセキュリティのためのもの。個人でSSL/TLSを利用しようとすると、このドメイン認証しか導入することができないので、どの認証局のドメイン認証を利用するかということになります。

 

とりあえずは個人のブログでSSL/TLSを導入するならドメイン認証ということですね。

 

これからGoogleでSSL/TLSを導入していないと「安全ではない」と表示されることを宣言されているから導入を考えないといけないですよね。でもこれからどんどん無料SSLを導入するサーバーが増えてくることが考えられるので、サーバーの引越しも視野に入れてしっかりと調べていく方がいいかもしれません。

 

 

企業認証

企業認証は企業の実在性を証明するもので、個人情報やクレジッットカード情報の入力が必要なサイトで必要になってきます。ECサイトとかプラットフォームですね。

 

ドメイン認証とは違って、誰でも簡単に認証してもらえるというものではなく、原則として登記事項証明書が必要。公的な書類を提出することによって一定の信頼性が得られるので、クレジットカードや個人情報を安心して取り扱えるようになります。フィッシング詐欺のようなサイトもあるので、保護された通信であるかどうかは入力する前に確認する癖をつけるのがいいと思います。

 

 

EV認証

EV認証は世界基準で厳格に審査されるものになります。個人情報の送受信だけでなく、常時SSL/TLSとしてサイトの入り口となるページにしっかりと保護して全体を守ることが考えられています。それに適しているとしてEV認証が選ばれるケースも増えてきているようです。

 

信頼性の担保としては、下でも説明しますが、表示されるアドレスバーが他の認証レベルとは全く違うということが大きいように思います。
それでは、認証レベルによってアドレスバーに表示される文字を確認してみましょう。

 

 

SSL/TLSの導入によって表示されるアドレスバーの違い

ブラウザによって表示の仕方が違うので、ここではGoogle Chromeをメインに解説していきます。

 

保護された通信|https
アドレスバーにこの表示がある場合は、ドメイン認証と企業認証。
このサイトのアドレスバーを確認してもらうと表示されていると思います。個人のサイトでSSL/TLSを導入している場合はドメイン認証しか選択肢がないので、この表示になっています。法人であればドメイン認証か企業認証ということになります。

 

Chromeのドメイン表示

Safariのドメイン認証

safariのアドレスバー表示1

Firefoxのドメイン認証

 

企業名 [国]|https
EV認証ではこのように企業名とその国が表示されます。
この表示がEV認証の証でもあるので、個人情報の入力をする場合でも安心して行うことができます。

10月に向けて注意喚起があるかどうかはわからないですが、ちらほら話題にのぼってきて、皆さんがよく見るところででもアドレスバーの表示が変わったりするかもしれませんね。

 

AppleがEV認証なので参考にさせてもらいます。

 

ChromeのEV認証

SafariのEV認証

safariのアドレスバー表示2

FirefoxのEV認証

firefoxのアドレスバー表示2

 

 

SSL/TLSサーバー証明書には有効期限がある

1度導入したらあとはほっといても大丈夫!というわけではないようです。
今は最長3年ですが、今後は2年間に短縮されるようです。Googleからは13ヶ月に制限する提案を出していたみたいですが、あえなく断念。でも今後定着していけば安全性の観点から期間がさらに短縮されていくことは予想できますよね。
自動更新されるものが多いと思いますが、無料のSSL/TLS証明書はどうなんでしょうか。

では無料のSSL/TLS証明書であるこのブログはどうなっているのか!
パパッと見ていきましょう。

 

 

SSL/TLSサーバ証明書の確認方法

Chromeの場合

右クリック → 検証 → Security → View certificate

右クリックから検証を表示させる

右クリックから検証を表示させます。

 

Securityを表示させる

 

>>のところにSecurityがしまってあるのでまずはクリック。

 

Viewのボタンをクリック

 

View certificateをクリックすることで証明書が確認できます。

 

SSL/TLS証明書

 

えっと、、有効期限は90日くらいですかね。その期間が保証されることになっているようです。エックスサーバーでは自動更新されるようなので、それほど心配する必要もなさそうです。

 

発行元がLet’s Encrypt Authority X3になってますね。

発行元である認証局がここに表示されるので、その証明書がどういうものなのか知ることができます。発行元によって表示される文字が違うのでわかりづらさはあるかもしれませんが、上でも述べた通り、Let’s Encryptではドメイン認証のみになります。

 

ちなみにAppleは

apple保証書

シマンテックのEV認証ですね。

 

Firefoxの場合

アドレスバーの鍵をクリック → 表示されたアドレスの右側にある「>」をクリック → 詳細を表示 → 証明書を表示

firefox SSL証明書までのステップ1

Chromeとは違って分かりやすいですね。説明はほとんどいらなさそうですが、アドレスバーの鍵の部分をクリックして、安全な接続と書かれた右にある「>」をクリック。

下の部分に詳細を表示というボタンが出てくるのでそれをクリック。

FirefoxのSSL証明書1

証明書を表示をクリックすることでSSL/TLS証明証が表示されます。

FirefoxのSSL証明書1

 

Safariの場合

アドレスバーの鍵をクリック → 証明書を表示

アドレスバーに表示されている鍵をクリック。

safariSSL証明書

証明書を表示をクリックするとSSL/TLS証明書が表示されます。

safariSSL証明書2

 

まとめ

個人で導入できるのはドメイン認証で、Let’s Encryptという団体が無料でドメイン認証を提供しているということが分かれば大丈夫でしょう!この一文でまとめるのもどうかと思いますが、個人ブログであれば十分と言えそうです。

 

検索エンジンにどれくらい影響するかを考えてもそれほどの効果は期待できるわけではないと思います。かと言って、気にする必要はないとは言えないのが今の状況ですね。「安全ではない」という言葉は結構大きな意味を持ってきそうです。

 

もうすぐ10月になってしまうので、それまでには一応の対策はしておいた方がいいと思います。サーバーが無料提供しているのであれば今すぐ設定しておきましょう。

コメント