WEBサイト構築時にかかせないSSLサーバー証明書について

SSLって何ですか？今さら聞けない基礎知識

SSLってなに？

ネットショップで買い物する際にクレジットカード番号などの個人情報を入れますが、このような大切な情報を安心して送れるように、SSL(secure sockets layer)という通信手順で守られています。

※この設定をしていないネットショップは注意が必要です。

↑の画像のように、ネットショップの購入画面のURLは「https：〜〜〜」となっています。
「https」というのがSSL通信をしているという意味です。

ネットショップの購入画面になると自動的に「http」から「https」にかわるので、ほとんどの人が気づかないと思います。

ネットで買物をするときはチェックしてみましょう！

昨年の２０１６年のときからもそうでしたが、ネットショップ以外の通常のホームページやサイトでも全ページSSL対応をする常時SSL対応が広まってきています。
常時SSL対応しているサイトとSSL対応していないサイトだと、常時SSL対応をしているサイトの方が優先的に表示するよ。といった内容です。

SSLを使うとなにができるの？

◆暗号化して送信している

ネットショップやSNSをしていると、個人情報など他の人に見られたくないデータをやり取りする場合があります。
そのようなときにSSLを使用すると、WEBでやりとりするデータを暗号化して、もしデータを見られても、内容をわからないようにすることができます。
どのように、やっているかというと、
クライアント(PCを操作しているユーザー、お客様)がデータを暗号化して送信し、送られてきた暗号化データを受け取ったサーバーが元のデータを取り出します。こうすることで、通信している最中に、データの内容を見られることを防いでいます。

◆信用できる相手か確かめている

また、大切なデータを送信するときに、送り先のサーバーが本当に信用できる相手かどうか調べる必要がでてきます。
そこで、SSLには信用できるサーバーかどうか確かめる機能があります。
サーバーから「サーバー証明書」と呼ばれる情報を受け取り、そのサーバー証明書を調べることで、通信相手のサーバーが信頼できるかどうか判断しています。

すごく、簡単に説明すると以上のようなことをしています。
(※通信の途中でもっと色々やっているのですが、複雑になるので今回は省きます)

SSLを使用していないネットショップは注意が必要

ほとんどのネットショップは大丈夫かと思いますが、中には購入画面などSSLを使用していないサイトがあるかもしれません。
今まで、なにも気にせずネットで買い物をしてきた人は、購入する際にURLをみてSSL通信をしているかどうかチェックをしましょう。
情報の漏洩を完全に防げるわけではありませんが、これだけでも、「怪しいサイトだな」と判断することができます。

また、ネットショップを運営しようと検討している人は必ずSSLを導入しましょう。

SSLはどうやって設定すればいいの？

SSLはどの様に設定をすればいいのでしょうか？

• お使いのサーバー会社に問い合わせて設定をする
• ホームページを制作した会社に設定をしてもらう
• 自分で設定をする

大まかにこの３つの方法があります。
自分で設定をする場合は「SSLの証明書の購入」「SSLの設定」をしなくてはなりません。
これを自分で行うには専門的な知識が必要になってきます。

ホームページやネットショップは製作会社が構築した場合がほとんどだと思いますので、問い合わせて設定をしましょう。

もちろん、費用がかかってくるので、どのくらい費用が掛かるのか確認をしましょう！

今後はどのサイトもSSL対応をしなくてはいけないのか？

SSLは証明書を購入して設定をしなくてはいけないので費用が別途かかってきます。
全てのサイトは対応をしなくてはいけないのでしょうか？

Googleの公式セキュリティブログによれば、Chromeに関してのことですが今後もHTTPに関しては注意喚起を続けて行っていくと書かれています。
【非セキュア】というラベル表示も考えている様なので実施できるサイトはSSL対応は行っていった方がいいでしょう。

▼Google セキュリティブログ
https://security.googleblog.com/2016/09/moving-towards-more-secure-web.html

SSLサーバー証明書の種類

SSLサーバー証明書には、種類があることをご存知でしょうか？
簡単に説明すると、鍵マークの右側に企業名が表示されているものとURLだけ表示されているものがあります。
安全の信頼性によってアドレスバーの表示が変わります。

鍵マークとURL表示↓

鍵マークと企業名と国とURL↓

SSL証明書の種類について説明します。

ドメイン認証SSL

手軽にSSL証明書を取得できるのが「ドメイン認証SSL」です。
書類の提出などの必要がなく、ドメインを管理していることを確認されれば、すぐにSSLサーバー証明書が発行されます。
個人でも取得が可能で、SSLサーバー証明書の費用が年間3万円前後とお手軽です。

企業認証SSL

「企業認証SSL」は、企業認証とつくのでWEBサーバーを運営している企業が実在するかの確認があります。
SSLサーバー証明書の申請時に、電話での確認や登記簿謄本・企業などの実印を押印した申請書・実印の証明書などの書類提出があります。
申請の手間はかかりますが、ドメインだけでなく、WEBサイトを運営している企業が本当に実在していることを証明するSSLサーバー証明書になります。
年間費用は5万円前後と「ドメイン認証SSL」よりも高額になります。
しかし、企業の実在まで証明されるので、証明書の信頼性は高まります。

EV認証（Extended Validation）

EV認証（Extended Validation）は、「ドメイン認証SSL」「企業認証SSL」よりも、信頼性がもっとも高いSSLサーバー証明書になります。
信頼性が高くなる分、申請には手間もかかります。
「企業認証SSL」の申請と同様の確認に加え、世界標準の認証ガイドラインと厳格な審査があります。
例えば、SSLサーバー証明書の申請責任者と技術担当の任命が必要になります。
さらに、設立日や銀行との取引状況までも審査されます。
年間費用は10万円前後と他の証明書と比べて、高額になります。
審査が厳格になり、料金も高額になりますが、それだけSSLサーバー証明書の信頼性が高くなります。

サイトの目的、予算とのバランスを見て、どのSSL証明書を適用するか選ばれることをオススメします。
SSL証明書はドメインごとに証明書が必要となるので、サブドメインでサービスページを運用する際は、サブドメインごとに費用がかかります。

「保護されていない通信」とChromeで表示される理由

ChromeブラウザでWEBサイトを見ていて、アドレスバーに赤字で「保護されていない通信」と警告が出ることはありませんか？

「保護されている通信」「保護されていない通信」とChromeブラウザのアドレスバーに表示される理由について説明します。

「保護されていない通信」とChromeで表示される理由

この警告は、SSL化（HTTPS：暗号化されている）対応されていないWEBサイトですよという表示です。
2018年10月16日にリリースされたChrome70でフォームに情報を入力すると赤字で表示がされるようになりました。

SSL？という方はこちらの記事を先にご覧ください↓
【SSLって何ですか？今さら聞けない基礎知識】
https://www.infact1.co.jp/staff_blog/webmarketing/1629/

「保護されていない通信」とChromeで表示される理由

Googleは以前からSSL化（HTTPS）対応を推進してきた

Googleは2014年8月7日に以降、常時SSLが世界に浸透するように試行錯誤してきました。
が、日本では2016年まで大企業だけが対応している状況でした。

SSL化（HTTPS）対応しないとどうなる？

フォームに情報を入力する際に、アドレスバーが赤字表示の警告をしますが、WEBサイトを閲覧しているだけなら赤い警告にはなりません。
しかし、WEBサイトを閲覧するユーザーはこの表示を見て、「このサイトはセキュリティがあまい！？」「保護してないのはまずいのか！？」と不安を抱かせてしまうことになります。
ユーザーに不安を抱かせてしまうと、アクセス数や滞在時間の減少に繋がったりします。

また、ユーザーが使いにくいと感じるサイトは、SEO的に評価が下がる可能性もあります。
SSL化（HTTPS）対応していないことが、検索表示順位が下がる原因にもなりかねないです。

「保護されていない通信」とChromeで表示させない対応

URLをhttpからはじまっている場合はSSL化（HTTPS）対応されていないWEBサイトということです。
URLがHTTPSからはじまるWEBサイトがSSL化（HTTPS）対応されているということになります。
httpsからURLがはじまれば、保護されている通信である証明として「鍵マーク」がアドレスバーに表示されます。

今までは、フォームだけSSL化（HTTPS）対応してあれば大丈夫な感じでしたが、「保護されていない通信」とアドレスバーに表示されることにより、知識のない閲覧ユーザーがその表示を見た時に不安になってしまう可能性があります。
WEBサイト全体をSSL化（HTTPS）対応することは、長期的にWEBサイトを運営する場合は必須です。
訪問ユーザーを不安にさせないことがSEOの順位上昇にもつながると思います。

複数のサブドメインで1つのSSL証明書が使用できることをご存知ですか？

サブドメインで複数のサイトを運営している場合、運営しているサイトの数、SSLサーバー証明書が必要になります。
複数のサブドメインのSSL証明書が、1つの証明書で対応できるワイルドカードについて紹介していきます。

複数のサブドメインでサイト運営している

複数のサブドメインでサイトを運営しているというのは、このようなことです↓

このようにドメイン：infact1.co.jp　の「.（ドット）」の前が異なるサブドメインでサイト運営をされている場合は、運営しているサブドメインの数にもよりますが、ワイルドカードの方が費用が安く済む場合があります。

複数のサブドメインで1つSSLサーバー証明書を使用するには

複数のサブドメインに対して、1つのワイルドカードを適用するには、ワイルドカードに対応しているサーバーであるか確認してください。
ワイルドカードに対応していないサーバーの場合、運営しているサブドメインの数SSLサーバー証明書が必要になります。

ワイルドカードのメリット・デメリット

複数のサブドメインを1つのSSL証明書の適用できる便利なワイルドカードですが、メリットもあればデメリットもあるので紹介致します。

ワイルドカードのメリット

SSL証明書の更新がラク！

複数のサブドメイン毎にSSL証明書を適用している場合、それぞれのサブドメイン毎にSSLの更新作業が発生します。

SSL証明書の管理がラク！

複数のサブドメイン毎にSSL証明書を適用している場合、SSL証明書を取得した時期が異なると更新時期も異なります。
ワイルドカードなら、1つのSSL証明書なので、管理がとても簡単です。

追加サブドメインもすぐにSSL化できる！

ワイルドカードにしていれば、新しいサイトをサブドメインで運用することになっても、申請の必要なくSSL化することができます。

ワイルドカードのデメリット

SSL証明書の更新に手間がかかる

複数のサブドメイン毎にSSL証明書を適用している場合、それぞれのサブドメイン毎にSSLの更新作業が発生します。
更新する際のCSRの発行や更新手続きの手間が、運用しているサブドメイン分必要になります。

SSL証明書の管理が煩雑になる

複数のサブドメイン毎にSSL証明書を適用している場合、SSL証明書を取得した時期が異なると更新時期も異なるので、SSL証明書の管理が煩雑にないやすいです。また、それぞれのサブドメイン毎に料金がかかるので、サブドメインの数が増えれば増えるほど、運用コストは上がります。

ワイルドカードはEV認証に対応していない

SSLサーバー証明書の種類でご説明している、セキュリティが最も高い「EV認証」にワイルドカードは対応していません。
ドメイン認証と企業認証のみです。

セキュリティ的なリスクがある

SSL証明書を申請する際、ワイルドカード証明書の秘密鍵というものを生成します。
この秘密鍵が流出してしまった場合、ワイルドカードを適用している全てのサイトに影響が出てしまいます。

ワイルドカードに対応していないサーバーがある

サーバーによって、ワイルドカードが使用不可のものがあります。
1つのサーバーで複数のサブドメインでサイトを運営しているからと、ワイルドカードが使用できるか確認せずに購入の申請などしないように、きちんと現在使用しているサーバーを確認してから申し込む用にしてください。

ガラケーに未対応

現在、スマホの普及率は7割から8割にまで達しています。
ガラケーに対応していなくてもそれほど、デメリットはないかと思います。

使用しているサーバーやセキュリティ面、管理・コストなど総合的に考えて、ワイルドカードにした方が良いかを検討していただければと思います。

最後に…

SSLサーバー証明書は、構築するサイトによって種類を選んだり、ワイルドカードを検討しましょう。