SSLはウェブサイトの電子証明書として近年必須になっています。このSSLにはいくつか種類があり、企業のサイトや個人サイトで使用するSSLを適切に選ぶ必要があります。ここでは電子証明書、SSLの種類と主な役目について解説します。
目次
独自SSLと共有SSL
独自SSL
独自SSLとは、個人や企業が個別に自由に名前をつけて取得した独自ドメインに対して使われるSSLのことです。WordPressブロガーがエックスサーバーなどでドメイン取得とWordPressブログを運用する場合は、一応、この独自SSLを利用していることになります。
この場合は、常時SSL化という作業を通して、WWWありなし、HTTPを全て、指定のURL(HTTPS)にリダイレクトさせたり、サイト内の該当するリンクをHTTPSに変えて、Mixed Contentsが存在しないようにする作業が必要になります。たいていは半自動で作業を完了できます。HTACCESSに関する知識が少し必要になります。
共有SSL
共有SSLは、サーバー会社などが取得したSSLを曲がりさせてもらうような感覚で、ドメイン名は自由に選びにくく、使えてもサブドメインやサブディレクトリで、オリジナリティを出すには物足りない場合もあります。
ただし、コストがあまり掛からず、身元を明らかにしなくても簡単に利用できるというメリットがあります。これも、身元保証がされていないということで、信頼度に欠け、執筆内容にも厳密にルールが適用されます。独自SSLよりは手軽でお金もあまりかからないですが、発信できる情報に限りがあるということと、自身の資産としてサイトを使えないので趣味的用途にはちょうどよいでしょう。
出典:常時SSLにはどれを使う?今さら聞けないSSL証明書の種類と違い
独自SSLのDV・OV・EV3種類
DV:Domain Validationドメイン認証
DV(Domain Validation)は、WordPressブロガーが最もよく使っているタイプで
- ドメイン利用権
のみを証明するものです。導入にかかるコストも、ランニングコストも最も安く、エックスサーバーのように契約内容によってはDV・SSLは無料でできることもあります。
OV:Organization Validation企業認証
OV(Organization Validation)は、企業が存在していることも同時に証明できるため、企業のウェブサイトや企業が運営しているメディアに利用するのも良いでしょう。
- ドメイン利用権
- 組織の実在証明
このOV以上にしていると、帝国データバンクなどで実在の会社かどうかチェックが入るため、たまに会社に調査のお知らせが届くこともあります。
SNSや会員制サイトを運用する場合、大学内部でのSSL化をする場合には、このOVにしている方が安心です。個人情報については保護することはできず、ユーザーの個人情報を確実に守るには、SSL以外の方法での取り組みが必要になります。
EV:Extended Validation認証
EV(Extended Validation)は、最も厳格に審査されるSSLです。
- ドメイン利用権
- 組織の実在証明
- 組織運営場所の証明
- 承認者・署名者の証明
ブランド力強化、銀行、ネット銀行、オンラインショップなどの目的で利用され、会社や事業所があることの証明までされるため、信頼度は高く、ランニングコストも高いですが、ユーザーからの安心感、信頼も得られます。
一般からすると、導入にひとクセあるので、導入できているだけである程度の技術者がいることの証明にもなり得ます。代表者への電話番号による確認なども行われるため、ブランディングをしたい場合には導入必須とも言えます。
SSLとTLSの違い
開発の過程で、SSL1.0~3.0までが存在していましたが、SSL3.0に続いて1999年に開発されたのがTLS1.0です。
その後、TLS1.3まで開発されて今に至り、名称はSSLで便宜的に統一しているため、SSL/TLSという呼ばれ方をします。
CVE-2014-3566により、SSL3.0に脆弱性が見つかり、TLS1.0/1.1にも脆弱性が合ったため、今はTLS1.2またはTLS1.3の利用が推奨されています。
2020年、現行ではTLS1.2、または、TLS1.3が利用されていればひとまず問題はないですが、脆弱性がゼロかと言うと必ずしもそうではありません。脆弱性があればまたさらなるアップデートがなされます。
SHAとは
SHAは「Secure Hash Algorithm」の略で、ハッシュ値とも言われるものです。これには、SHA-1とSHA-2があり、SHA-2の方が数値が大きく、改ざんされにくいとされています。SHA-2は、224ビット、256ビット、384ビット、512ビットと種類があり、数字が大きいほどセキュリティ強度も高いというように言われます。
これは暗号化においてのセキュリティが高いだけで、ウェブページの改ざんやフィッシングなどを予防するくらいにしかなりません。XSSなどで脆弱性を突かれて、サイト内のデータやページの改ざん、追加、削除ができてしまう場合もあるので、SSLだけしていればよいわけではありません。
マルウェアを埋め込まれることもあるので、セキュリティ対策はSSLだけでなく多方面に注意していないといけません。
PKI(Public Key Infrastructure)とは
PKIはセキュリティの話というよりは通信インフラに近い話になりますが、公開鍵暗号方式のことを指します。公開鍵と秘密鍵を使った暗号方式で、片方の持つ鍵がなければ暗号化されている平文(暗号化されたラブレター)を復号して読めるようにした平文(普通のラブレター)にできないという感じの暗号化方式です。
秘密鍵が漏洩すると意味がなくなりますが、現代の通信において
- なりすまし防止
- 盗聴防止
- 送受信される情報の改ざん防止
などに用いられている技術です。このPKIの暗号化方式とSSL認証方式を重ねて導入することで、より強固に、かつ、安全性の高いインターネット利用が可能になります。完全無欠ではないですが、一般的なセキュリティを満たすものとしてとても重要な知識です。
参考:https://jp.globalsign.com/ssl-pki-info/pki/aboutpki.html
各自のセキュリティ意識も大切
インターネットを利用する上での各自の危機意識が最も大切です。安易に不審なメールをクリック、タップしない、メール内の不審なリンクをクリックしない、HTTPS化されていないネットショップを利用しない、Mixed Contentsがあるネットショップでの買い物はしないなど、不審な点は厳しくチェックして自己防衛する必要があります。
近年は、ウェブサイトを開いてウイルスに感染したり、パソコンがおかしくなるリスクよりも、メールで届くAmazonや楽天の偽メールからパスワードやIDを抜かれたり、クレジットカード情報を盗まれたりする心配の方が大きいです。
SSL、暗号方式のことなど基本をよく理解してインターネットを使うようにしましょう。また、ウェブサイト運営者は、一般の方が理解しているセキュリティ知識の需要を最低限満たすようにサイト運営し、個人情報の漏洩や不安に感じさせるサイトを作らないようにすることも大切です。
コメントを残す