初めての方でもわかる

SSL/TLSの基本 まとめ解説

「SSL」「SSLサーバ証明書」の種類・役割・確認方法およびSSLとTLSの違い、SSL暗号化の仕組みや、活用方法、最新情報をご紹介します。

  1. SSLのグローバルサイン
  2. サービス一覧
  3. SSLサーバ証明書
  4. SSL/TLSの基本

オンラインショッピング・ネットバンキングをはじめとする様々なウェブサービスが普及している昨今、個人情報や決済情報など重要なデータの送受信の機会は増え続けており、それらを盗み取ろうと狙う犯罪行為は後を絶ちません。
安心してウェブサイトやウェブサービスを利用してもらうためには、ウェブサイトにSSLを導入することは必須事項と言える状況です。

このページでは、SSL導入が初めての方でも知っておく必要がある基礎知識や役割、SSLの種類とSSLを導入しているサイトの見分け方から、SSL暗号化の仕組みや活用方法、最新動向などをご紹介します。

SSL/TLSとは

SSL(Secure Sockets Layer)とは、米Netscape社が開発したネットワーク上で送受信されるデータを暗号化する通信技術です。1994年にリリースされたSSL2.0が、Netscape社のウェブブラウザ「Netscape Navigator 1.1」に実装され、SSLが広く一般にも知れ渡るようになりました。

SSLとは イメージ

その後SSL3.0を元にしたTLS1.0(Transport Layer Security)が定められ、現在はTLS1.2までリリースされております。
SSL3.0とTLS1.0は、仕組みがほぼ同じですが、TLSが登場した段階では既にSSLという名称が広く使われていたために、現在では「TLSのことも含めてSSLと呼ぶ」または「SSL/TLS」「TLS/SSL」のような併記で使われる事が多いです。

SSLサーバ証明書とは

SSLサーバ証明書とは、ウェブサイトの所有者の情報、送信データの暗号化に必要な鍵と発行者の署名データを持った電子証明書です。グローバルサインなどの認証局が、ウェブサイトの所有者の情報や運営組織を確認し認証した上で発行します。
SSLサーバ証明書の最も基本的な役割は「SSL暗号化通信」と「組織の実在性確認」です。

SSLサーバ証明書の役割

役割その1 SSL暗号化通信

ユーザがウェブサイトで入力した個人情報や決済情報データなどをSSL暗号化して送受信します。万が一途中でデータを盗聴されても、暗号化されたデータは解読されず、改ざんされたり悪意ある第三者に内容が知られることはありません。

役割その2 組織の実在性確認

ウェブサイトの運営者・運営組織が実在することを、グローバルサインなどの認証局が確認します。これにより、ウェブサイトを運営している組織がなりすましや架空でない本物の組織であることが認証され、ブラウザに鍵のマークが表示されたり、アドレスバーが緑色になるなど、ユーザが安心してウェブサイトを利用できるようになります。

SSL暗号化通信の仕組み

SSL暗号化通信の仕組みは、クライアント側が共通鍵を使って暗号化したデータをサーバ側に送り、サーバ側は事前にクライアント側から送られた共通鍵を使ってデータを復号します。公開鍵、秘密鍵はクライアント・サーバ間で事前に共通鍵を安全に授受するために使用されます。
SSL暗号化通信の仕組み詳細

SSL暗号化通信の仕組み

SSLサーバ証明書の種類

SSLサーバ証明書は、組織の実在性確認の内容によりレベル分けされた「ドメイン認証」「企業実在認証」「EV認証」の3種類が存在します。
SSLの種類と認証の流れ詳細

ドメイン認証

SSLサーバ証明書の所有者が証明書に記載のあるドメイン(コモンネーム)の使用権を所有していることを認証します。ドメインの所有権のみを確認するため、審査の時間もかからず、特定のページのみに急いでSSLを導入したい場合に向いています。

企業実在認証

証明書に記載される組織が法的に存在すること、またその組織が証明書に記載されるドメインの所有者であることを認証します。決済情報の送受信は無いものの、なりすましを防止し、ウェブサイトの運営組織や所在地が架空でないことをユーザにきちんとアピールし信頼度をアップしたい場合に向いています。

EV認証

EVとは『Extended Validation』の略です。証明書に記載される組織が、法的かつ物理的に実在し、またその組織が証明書に記載されるドメインの所有者であることを認証します。フィッシング詐欺に狙われやすい金融機関サイトにおけるなりすまし被害予防や、決済情報も含めた個人情報の送受信を行なうネットショッピングサイトなどに向いています。

SSLの確認方法/エラーや警告が出てしまったら?

SSLサーバ証明書の確認方法

閲覧しているウェブサイトがSSLサーバ証明書を導入してるか否かは、ブラウザのアドレスバーで確認することができます。
SSLサーバ証明書が導入されているウェブサイトには、「http://」にセキュア(Secure)を表す「s」が付き、「https://」と表示されます。

SSL導入をアドレスバーで確認

SSLに関するエラーや警告

せっかく正しくSSLサーバ証明書を設定しても、ウェブサイト内に非SSLのコンテンツがあると警告表示がされます。この場合、主要ブラウザによって警告表示の仕方はまちまちです。
また、SHA-1証明書を使い続けている場合、主要ブラウザではすでに警告を表示させるようになっております。
さらに、「Google Chrome 56」からは、パスワードやクレジットカード情報を送信するHTTPサイト(非SSL/TLSサイト)において、アドレスバーの右に「No Secure」と表示する仕組みが導入されました。

SSLエラー  chrome
NoSecure

なぜ、SSLが必要なのか

便利なウェブサービスが次々と誕生する中、ユーザが個人情報を提供する機会はますます増え、「フィッシング詐欺サイトによる個人情報漏えいなどの事例は依然として増え続けています。
一般のユーザにとっても、ウェブサイトで個人情報を提供する際に最も重要視するのが「SSLなどで個人情報の暗号化を行なっているか」で、ウェブサイトにおける「安全性」「信頼性」は必須事項です。

SSL化してるかいないかでユーザの行動は変わる

ウェブサイト利用における3つのリスク

ウェブサイト利用におけるリスクのうち、「なりすまし」「盗聴」「改ざん」は特に「個人情報の漏えい」に直結し、企業の信頼問題にも発展しかねません。

なりすまし

なりすましは、第三者が正当な取引主体になりすまして、取引を行うといった行為です。なりすましの主な事例は「フィッシングサイト」です。

盗聴

盗聴は、インターネット上でやり取りされる個人情報や決済情報、Cookieなど、悪用される危険性のあるデータを第三者が盗み見する行為です。

改ざん

改ざんは、ユーザ登録や注文画面などで入力した内容等を、悪意ある第三者が途中で書き換える行為です。

ウェブサイトへのSSLサーバ証明書導入は、インターネット上での「なりすましサイト」「フィッシング」などと呼ばれるウェブサイトを使った詐欺対策に有効です。

SSLの活用・最新動向

常時SSL化とは

ウェブサイトのすべてのページを暗号化(SSL/TLS化)することを常時SSL(Always On SSL)といいます。
常時SSLは、ウェブサイト内のログインページやフォームなど特定のページだけでなく、その他すべてのページをSSL/TLS化することで、ログイン情報や決済情報だけでなく、Cookieへの不正アクセス(盗聴)も防止することができます。

常時SSL化とは

SSL/TLSの拡張仕様「SNI(Server Name Indication)」とは

SNI(Server Name Indication)は、「1台のサーバで異なる証明書」を使い分けることができます。
SSL/TLSの「1つのサーバで同じIPアドレスにつき1ドメインの証明書しか使えない」は、常時SSL化が推奨され今後さらにSSLの需要が増えると予想される状況においては、いずれIPアドレスの枯渇が懸念され、このSNIに注目が集まっています。
SNIを導入すると「1つのサーバで異なる証明書の使い分け」が可能となります。また訪問者にとっては「SSLだけ突然別のサイトに飛ばされる」違和感が無くなり、運営者にとっても、SSLが必要なウェブサイト増える都度IPアドレスを準備する手間が減り、IPアドレスの節約にも繋がるメリットがあります。

SNI(Server Name Indication)

共用ドメインSSLを使う時の注意点

レンタルサーバなどで提供されている共用SSLは、同じホストのユーザで1つのSSLサーバ証明書を使用しています。認証局発行のSSLサーバ証明書とは違い、導入コストもかからず、面倒な手続きも不要で、手軽にSSL暗号化通信ができるメリットがあります。一方で、元のページからSSLのあるページへ移動すると、元とは違うドメインになるため、ユーザによっては違和感や不安感を抱いてしまう場面が想定されます。

共用ドメインSSLを使うと

SHA-1・SHA-2(SHA256)とは

SHA-1・SHA-2とは、ハッシュ関数の種類で、改ざん検知に利用される署名アルゴリズムのことです。SHA-1とSHA-2でハッシュ値の長さが異なり、 ハッシュ値が短いと同一のハッシュ値を持つデータが発見される可能性が高くなり、安全性が低下します。
弊社で発行しているSSLサーバ証明書のハッシュ関数は、SHA-2(SHA256)になります。
SHA-1からSHA-2への移行について

RSA鍵1024bitの問題

1024bitRSA鍵をはじめとする従来の暗号技術の脆弱性が指摘され、2010年末を境に、2048bit以上の鍵長の鍵を使用することが、NIST(アメリカ国立標準技術研究所)やその他各国政府に推奨されるようになりました。グローバルサインでも既に1024bitRSA鍵でのSSLサーバ証明書発行は停止しております。
RSA鍵1024bitの問題

【関連情報】PKI・電子証明書入門

PKIとは?

公開鍵と秘密鍵

PKI(公開鍵暗号基盤)は、公開鍵と秘密鍵のキーペアからなる公開鍵暗号方式という技術を利用し、インターネット上で安全にやりとりを行うセキュリティのインフラ(基盤)のことです。

電子証明書とは

電子証明書とは

電子証明書は、電子の世界で持ち主の情報を証明することができます。電子証明書を導入することで、「なりすまし」「改ざん」「事後否認」「盗聴」といったリスクを未然に防ぎます。

認証局(CA)とは?

電子証明書とは

認証局(CA:Certification Authority)の役割は、電子証明書を発行することと、失効させることです。

PDF資料を配布しております

サービスカタログ

  • グローバルサイン総合カタログ
  • サーバセキュリティサービスカタログ

関連資料

  • 初めての方でもわかるSSL/TLSのキホン 徹底解説
  • 常時SSLのススメ メリットと注意したいポイント

SSLに関する資料・お問い合わせはこちら

電話:03-6370-6500(受付:平日10時〜18時)

グローバルサインのSSLサーバ証明書により運営者情報が認証されています。

ページのトップへ戻る