初めての方でもわかるSSLまとめ

SSL/TLSとは?
基礎知識と活用法

SSL/TLSやSSLサーバ証明書についての基礎知識から、最新活用方法までわかりやすく解説。SSLとTLSの違い、サイト運営者の実在性確認の概要と証明書の種類、SSL通信の仕組み、httpsとhttpの違いや見分け方から、SSL導入の必要性や常時SSLのことなどがわかります。

PDF資料配布中
  1. GMOグローバルサイン
  2. サービス一覧
  3. SSLサーバ証明書
  4. SSL/TLSとは?

はじめに

SSLは、インターネット上で送受信される個人情報や決済情報などの重要なデータを、悪意ある第三者から守る有効手段です。現在のウェブサイトの運営においては、SSL導入は既に必須事項となりました。
以下にてSSLやSSLサーバ証明書の仕組みと基礎知識、利用用途や最新動向をご紹介します。

SSLとは

SSL(Secure Sockets Layer)とは、インターネット上でのデータの通信を暗号化し、盗聴や改ざんを防ぐ仕組み(プロトコル)のことです。
通常インターネット上での通信は「http(HyperText Transfer Protocol)」で行われますが、送受信されるデータは暗号化することができず、盗聴や改ざんを防げません。
しかし、SSLプロトコルを使用することで通信データは暗号化され、第三者が盗み見しようとしても解読することができません。

SSLが導入されているサイト
SSLが導入されているサイト
SSLが導入されていないサイト
SSLが導入されていないサイト

SSL(https)サイトと非SSL(http)サイトの見分け方

アクセスしたウェブサイトでSSLが導入されている場合、ブラウザに『鍵マーク』が表示され、URLの先頭が『https』と表示されます。 逆に、SSLを導入していない場合は、URLの先頭が『http』となります。
httpsの「s」は、セキュア(Secure)を表し、ブラウザとサーバ間で通信されているデータが暗号化され保護されていることを示します。

SSL(https)導入をアドレスバーで確認

SSLとTLSの違い

SSLは、1994年にウェブブラウザ「Netscape Navigator 1.1」に「SSL2.0」が実装されてから広く普及しました。 その後はSSL3.0を元にしたTLS1.0(Transport Layer Security)が定められましたが、この時は既にSSLの呼称が定着しており、現在は「SSL/TLS」のような併記で使われることが多いです。

最近まで広く使用されていた「SSL3.0」は、2014年に脆弱性の問題が発見され、既に各種ブラウザでの利用が不可となっております。その後TLS1.0/1.1においても脆弱性が発見され、利用が非推奨とされております。
SSLとTLSの違いと脆弱性の問題

SSLサーバ証明書とは

SSLサーバ証明書は、ウェブサイトの「運営者の実在性を確認」し、ブラウザとウェブサーバ間で「通信データの暗号化」を行うための電子証明書で、グローバルサインなどの認証局から発行されます。
SSLサーバ証明書には、ウェブサイトの所有者の情報や、暗号化通信に必要な鍵、発行者の署名データが含まれています。

SSLサーバ証明書の役割は「運営者の実在性確認」と「通信データの暗号化」

運営者の実在性確認と証明書の種類

SSLサーバ証明書の発行にあたっては、グローバルサインなどの認証局が、対象のウェブサイトのドメイン(コモンネーム)の使用権の確認と、ウェブサイトの運営者(組織)の実在性の審査を行います。
「実在する運営者(組織)によって運営されている本物のウェブサイト」であることが認証局によって認証され、ユーザは、自分がアクセスしたウェブサイトが、安心して利用できるウェブサイトであることが確認できます。

組織の実在性確認

なおSSLサーバ証明書には、サイト運営者(組織)の認証内容によりレベル分けされた「ドメイン認証」「企業実在認証」「EV認証」の3種類が存在します。

ドメイン認証

ウェブサイトのドメインの使用権を所有していることを認証します。
組織の実在性は確認しないため、登記簿謄本などの提出は不要、個人事業主の方でも証明書の申請が可能です。

企業実在認証

ウェブサイトのドメインの使用権の所有の他、その運営組織が法的に実在すること認証します。
第三者データベースに照会の上確認し、さらに申し込みの意思を確認の上証明書が発行されます。

EV認証

世界標準のガイドラインに沿って、ドメインの使用権の他、その運営組織の法的・物理的実在性を第三者データベースに照会の上確認し、さらに申し込みの意思と権限を確認の上証明書が発行されます。

SSLの種類の比較と利用用途

通信データの暗号化

SSLサーバ証明書に含まれる2つの鍵(共通鍵暗号方式・公開鍵暗号方式)によって、ブラウザ⇔サーバ間で送受信される個人情報や決済情報などの通信データを暗号化することができます。 暗号化されたデータは、SSLサーバ証明書を導入したサーバで保持する秘密鍵のみでしか解読することができず、悪意ある第三者からの盗聴を防ぎます。

SSL暗号化通信の仕組み

個人情報や決済情報データなどをSSL暗号化

SSLサーバ証明書の内容の確認方法

SSLサーバ証明書には、ウェブサイトの所有者(運営組織)、証明書の有効期間、送信情報の暗号化に必要な鍵など様々な情報が含まれており、 ブラウザの鍵マークをクリックすると、その内容を確認することができます。
ブラウザによって、確認の方法が異なります。

Internet Explorer 9での確認方法
Google Chromeでの確認方法

ブラウザの鍵マークをクリック
有効期間を確認

SSLサーバ証明書導入の必要性

SSLサーバ証明書導入は、ウェブサイトにおける「なりすまし」「盗聴」「改ざん」のリスク防止に有効です。
また、「フィッシングサイト」による詐欺被害が後を絶たず、便利なウェブサービスが当たり前のように存在している現在、個人情報保護に対する意識も高く、SSL導入は必須事項となっております。
SSL導入により、ユーザに安心してウェブサイトを利用してもらうことで、リスク回避のみならず、機会損失を回避することが可能になります。

「なりすまし」「盗聴」「改ざん」とは

なりすまし

なりすましとは、第三者が正当な取引主体になりすまして、取引を行う行為のことです。

盗聴

盗聴とは、インターネット上で送受信される個人情報や決済情報、Cookieなどの機密性の高いデータを第三者が盗み見する行為のことです。

改ざん

改ざんとは、ユーザがユーザ登録や注文画面などで入力した内容等を、悪意ある第三者が途中で書き換える行為のことです。

「フィッシングサイト」とは

「フィッシングサイト」とは、悪意ある第三者が、会員制サイトやECサイトになりすまし、本物を装ったウェブサイトへ誘導するメールを送りつけ、パスワードや決済情報といった重要な個人情報を取得することを目的にしたウェブサイトを作る行為のことです。

フィッシング詐欺とは

「個人情報の暗号化」「https化」で機会損失回避

「フィッシングサイト」の詐欺被害が年々増加傾向であることとともに、 個人情報保護法の施行(平成17年4月1日)以降、個人情報保護に対する意識はますます高まっています。
ある調査によると、個人情報を提供する際に最も重要視することとして『SSLサーバ証明書などによって個人情報の暗号化を行なっているか』が1番に挙げられています。

『ウェブサイトで個人情報を送信する際に重要視すること』

ウェブサイトで個人情報を送信する際に重要視すること
※2016年6月「SSLサーバ証明書の認知度・利用度調査」(調査協力・株式会社マクロミル)

また、「Google Chrome」のバージョン56より、パスワードやクレジットカード情報を入力するフォームがあるHTTPサイト(非SSL/TLSサイト)に対しては、 アドレスバーの右に安全ではないことを示す「No Secure」と表示する仕組みを導入しました。一目でわかる仕組みは、今後ますますHTTP化されていないウェブサイトの利用を避ける傾向を強めるものと思われます。

NoSecure

SSLでのエラーや警告

アドレスがhttps://で始まるウェブサイトにアクセスして表示される警告は、主に以下の3種類があります。
詳細はサポートページをご参照ください。

信頼する会社から発行されていません
・SSLサーバ証明書が正しく設定されていない。
・中間CA証明書が設定されていない。
・信頼のある認証局で認証されていない「自己署名証明書(オレオレ証明書)」を利用している。
有効期限が切れたか、まだ有効になっていません
・SSLサーバ証明書の有効期限が切れている。
・SSLサーバ証明書が有効になっていない。
※クライアントPCの時間が正常でない場合も同様のメッセージが表示されることがあります。
名前が無効であるか、またはサイト名と一致しません
・証明書のコモンネームとブラウザで入力してるFQDN(ホスト名.ドメイン名等)の不一致

また、正しく設定したSSLサーバ証明書を導入しても、ウェブサイト内に非SSLのコンテンツがあると警告表示がされます。主要ブラウザによって警告表示の仕方はまちまちです。

httpとhttpsが混在のSSLエラー  chrome

常時SSLとは

ウェブサイトのすべてのページを暗号化(SSL/TLS化)することを常時SSL(Always On SSL)といいます。
常時SSLは、ウェブサイト内のログインページやフォームなど特定のページだけでなく、その他すべてのページをSSL/TLS化することで、ログイン情報や決済情報だけでなく、Cookieへの不正アクセス(盗聴)も防止することができます。
常時SSLとは?メリットと注意点

常時SSL化とは

SSLの活用・最新動向

SSL/TLSの拡張仕様「SNI(Server Name Indication)」とは

SNI(Server Name Indication)は、「1台のサーバで異なる証明書」を使い分けることができます。
SSL/TLSの「1つのサーバで同じIPアドレスにつき1ドメインの証明書しか使えない」は、常時SSL化が推奨され今後さらにSSLの需要が増えると予想される状況においては、いずれIPアドレスの枯渇が懸念され、このSNIに注目が集まっています。
SNIを導入すると「1つのサーバで異なる証明書の使い分け」が可能となります。また訪問者にとっては「SSLだけ突然別のサイトに飛ばされる」違和感が無くなり、運営者にとっても、SSLが必要なウェブサイト増える都度IPアドレスを準備する手間が減り、IPアドレスの節約にも繋がるメリットがあります。

SNI(Server Name Indication)

共用ドメインSSLを使う時の注意点

レンタルサーバなどで提供されている共用SSLは、同じホストのユーザで1つのSSLサーバ証明書を使用しています。認証局発行のSSLサーバ証明書とは違い、導入コストもかからず、面倒な手続きも不要で、手軽にSSL暗号化通信ができるメリットがあります。一方で、元のページからSSLのあるページへ移動すると、元とは違うドメインになるため、ユーザによっては違和感や不安感を抱いてしまう場面が想定されます。

共用ドメインSSLを使うと

SHA-1・SHA-2(SHA256)とは

SHA-1・SHA-2とは、ハッシュ関数の種類で、改ざん検知に利用される署名アルゴリズムのことです。
SHA-1とSHA-2でハッシュ値の長さが異なり、ハッシュ値が短いと同一のハッシュ値を持つデータが発見される可能性が高くなり、安全性が低下します。
SHA-1証明書を使い続けている場合、主要ブラウザではすでに警告を表示させるようになっております。

SHA-1証明書を使い続けていると警告表示

RSA鍵1024bitの問題

1024bitRSA鍵をはじめとする従来の暗号技術の脆弱性が指摘され、2010年末を境に、2048bit以上の鍵長の鍵を使用することが、NIST(アメリカ国立標準技術研究所)やその他各国政府に推奨されるようになりました。グローバルサインでも既に1024bitRSA鍵でのSSLサーバ証明書発行は停止しております。
RSA鍵1024bitの問題

【関連情報】PKI・電子証明書入門

PKIと公開鍵・共通鍵・鍵長とは?

公開鍵と秘密鍵

PKI(公開鍵暗号基盤)は、公開鍵と秘密鍵のキーペアからなる公開鍵暗号方式という技術を利用し、インターネット上で安全にやりとりを行うセキュリティのインフラ(基盤)のことです。

電子証明書とは

電子証明書とは

電子証明書は、電子の世界で持ち主の情報を証明することができます。電子証明書を導入することで、「なりすまし」「改ざん」「事後否認」「盗聴」といったリスクを未然に防ぎます。

認証局(CA)とは?

電子証明書とは

認証局(CA:Certification Authority)の役割は、電子証明書を発行することと、失効させることです。

PDF資料を配布しております

サービスカタログ

サーバセキュリティカタログ
  • グローバルサイン総合カタログ
  • サーバセキュリティサービスカタログ

関連資料

初めての方でもわかるSSL/TLSのキホン 徹底解説 PDF資料
  • 初めての方でもわかるSSL/TLSのキホン 徹底解説
  • 常時SSLのススメ メリットと注意したいポイント

SSLに関する資料ダウンロードはこちら

電話:03-6370-6500(受付:平日10時〜18時)
ページのトップへ戻る
閉じる