初めての方でもわかる

SSL/TLSとは? まとめ解説

「SSLとは何か?」といった基礎知識から、「SSLサーバ証明書」の種類と役割、SSL暗号化通信の仕組み、SSL導入サイトの見分け方、httpとhttpsの違い、活用方法、最新情報をご紹介します。

PDF資料配布中
  1. SSLのグローバルサイン
  2. サービス一覧
  3. SSLサーバ証明書
  4. SSL/TLSとは?

オンラインショッピング・ネットバンキングをはじめとする様々なウェブサービスが普及している昨今、個人情報や決済情報など重要なデータの送受信の機会は増え続けており、それらを盗み取ろうと狙う犯罪行為は後を絶ちません。
安心してウェブサイトやウェブサービスを利用してもらうためには、ウェブサイトにSSLを導入することは必須事項と言える状況です。

このページでは、SSL導入が初めての方でも知っておく必要がある基礎知識や役割、SSLの種類とSSLを導入しているサイトの見分け方から、SSL暗号化の仕組みや活用方法、最新動向などをご紹介します。

SSL/TLSとは

SSL(Secure Sockets Layer)とは、米Netscape社によって開発されたインターネット上での通信を安全に行う技術(プロトコル)のことです。 PCやスマートフォンなどのデバイスとサーバ間で送受信される機密性の高い情報が含まれるデータを暗号化し、悪意ある第三者によるデータの盗聴や改ざんを防止します。

SSLとは 通信の暗号化

1994年に「SSL2.0」がリリースされた際、ウェブブラウザ「Netscape Navigator 1.1」に実装され、SSLが広く一般にも知れ渡るようになりました。
その後SSL3.0を元にしたTLS1.0(Transport Layer Security)が定められ、現在はTLS1.2までリリースされております。
SSL3.0とTLS1.0は、仕組みがほぼ同じですが、TLSが登場した段階では既にSSLという名称が広く使われていたために、現在では「TLSのことも含めてSSLと呼ぶ」または「SSL/TLS」「TLS/SSL」のような併記で使われる事が多いです。

SSLサーバ証明書とは

SSLサーバ証明書とは、ウェブサイトの所有者の情報、送信データの暗号化に必要な鍵と発行者の署名データを持った電子証明書です。 グローバルサインなどの認証局が、ウェブサイトの所有者の情報や運営組織を確認し認証した上で発行します。
SSLサーバ証明書の最も基本的な役割は「SSL暗号化通信」と「組織の実在性確認」です。

SSLサーバ証明書の役割

役割その1 SSL暗号化通信

個人情報や決済情報データなどをSSL暗号化して送受信

ユーザがウェブサイトで入力した個人情報や決済情報データなどをSSL暗号化して送受信します。万が一途中でデータを盗聴されても、暗号化されたデータは解読されず、改ざんされたり悪意ある第三者に内容が知られることはありません。

役割その2 組織の実在性確認

組織の実在性確認

ウェブサイトの運営者・運営組織が実在することを、グローバルサインなどの認証局が確認します。これにより、ウェブサイトを運営している組織がなりすましや架空でない本物の組織であることが認証され、ブラウザに鍵のマークが表示されたり、アドレスバーが緑色になるなど、ユーザが安心してウェブサイトを利用できるようになります。

SSL/TLS暗号化通信の仕組み

SSL暗号化通信の仕組みは、クライアント側が共通鍵を使って暗号化したデータをサーバ側に送り、サーバ側は事前にクライアント側から送られた共通鍵を使ってデータを復号します。 公開鍵、秘密鍵はクライアント・サーバ間で事前に共通鍵を安全に授受するために使用されます。

SSL暗号化通信の仕組み
  • 接続要求
    クライアント側PCのブラウザから、https://〜で始まるセキュアなウェブサイトへアクセスします。
  • サーバ証明書(公開鍵付き)送付
    サーバ側から証明書がクライアントに送付され、クライアントのブラウザに搭載されているルート証明書で署名を確認し、送られてきた証明書を検証します。 もしルート証明書がブラウザに搭載されていない場合は警告が表示されます。(なりすまし防止)
  • 暗号化した共通鍵を送付
    クライアントは通信データの暗号化に使用可能な暗号の種類をサーバに通知し、共通鍵暗号方式を選択します。クライアントが暗号用の共通鍵を生成し、サーバの公開鍵で暗号化して送ります。暗号化された共通鍵はサーバ側の秘密鍵で復号化されます。
  • 暗号化通信開始
    双方が共通鍵(セッションキー)を用いて、SSL暗号化通信が行われます。共通鍵には、サーバとクライアントが使用するブラウザの双方が対応する、最も強度の高い暗号方式・鍵長が使用されます。

※サーバ管理者は、十分な強度の暗号方式・鍵長を設定するようご注意ください。グローバルサインでは、公開鍵の鍵長が2048bit未満の場合、お申し込みいただけません。

OSI参照モデル

SSLプロトコルをOSIのネットワーク階層モデルで表すと、トランスポート層とプレゼンテーション層の間に位置し、上位のアプリケーション層やプレゼンテーション層(HTTP / POP/ FTP / など)から 、暗号化などセキュリティ対策を施した通信が行えます。

OSI参照モデル HTML、SSLの部分を暗号化

SSL(https)を導入しているサイトの見分け方

ウェブサイトがSSLサーバ証明書を導入してるか否かは、ユーザがブラウザで確認することができます。

SSL導入サイトはアドレスバーがhttpsに変化する

通常のインターネット上での通信は「http(HyperText Transfer Protocol) 」で行われますが、送受信されるデータは暗号化することができず、盗聴や改ざんを防げません。
しかし、httpと同時にSSLプロトコルを利用できるようにすることで、データは暗号化され、インターネット上の通信が安全に行われます。

SSLサーバ証明書が導入されていないウェブサイトは、アドレスの先頭が「http」で、SSLサーバ証明書が導入されているウェブサイトは、ブラウザのアドレスバーに『鍵マーク』、アドレスの先頭は『https』と表示されます。
httpsの「s」は、セキュア(Secure)を表し、ブラウザとサーバ間で通信されているデータが暗号化され保護されていることを示します。 また、EV認証のSSLサーバ証明書を導入している場合、アドレスバーには運営組織名が緑色で表示されます。

SSL(https)導入をアドレスバーで確認

SSLサーバ証明書情報の見方

SSLサーバ証明書には、ウェブサイトの所有者(運営組織)、証明書の有効期間、送信情報の暗号化に必要な鍵など様々な情報が含まれています。
ブラウザによって、確認の方法が異なります。
Internet Explorer 9での確認方法
Google Chromeでの確認方法

有効期間を確認

もしSSLに関するエラーや警告が出てしまったら?

せっかく正しくSSLサーバ証明書を設定しても、ウェブサイト内に非SSLのコンテンツがあると警告表示がされます。この場合、主要ブラウザによって警告表示の仕方はまちまちです。
また、SHA-1証明書を使い続けている場合、主要ブラウザではすでに警告を表示させるようになっております。
さらに、「Google Chrome 56」からは、パスワードやクレジットカード情報を送信するHTTPサイト(非SSL/TLSサイト)において、アドレスバーの右に「No Secure」と表示する仕組みが導入されました。

SSLエラー  chrome
NoSecure

SSLサーバ証明書の種類と利用場面

SSLサーバ証明書は、組織の実在性確認の内容によりレベル分けされた「ドメイン認証」「企業実在認証」「EV認証」の3種類が存在します。
SSLの種類と認証の流れ詳細ご利用場面別SSLの選び方

ドメイン認証

証明書の所有者が、証明書に記載のあるドメインの使用権を所有していることを認証します。 組織の実在性は確認しないため、登記簿謄本などの提出は不要で、個人事業主の方でも証明書の申請が可能です。 オンラインでの短期間の審査で証明書を取得でき、低価格で急いでSSLを導入することができます。

確認項目
ドメインの使用権




アドレスバー表示
ブラウザのアドレスバーに鍵マーク
証明書の仕様
SSL暗号化通信


主な利用場面
・特定のページだけ暗号化
・組織内限定サイト

企業実在認証

証明書に記載されるドメインの所有者の認証の他、その運営組織が法的に実在するを認証します。 組織の法的実在性を、第三者データベースに照会の上確認し、さらに申し込みの意思を確認の上証明書が発行されます。 ウェブサイトの運営組織や所在地が架空でないことをアピールし、サイトの信頼度が向上します。

確認項目
ドメインの使用権
組織の法的実在性



アドレスバー表示
ブラウザのアドレスバーに鍵マーク
証明書の仕様
SSL暗号化通信
証明書に運営組織名が表示

主な利用場面
・コーポレートサイト
・問い合わせ等各種フォーム
・組織内限定サイト

EV認証

証明書に記載されるドメインの所有者の認証の他、世界標準のガイドラインに沿って、 組織の法的・物理的実在性を第三者データベースに照会の上確認し、さらに申し込みの意思と権限を確認の上証明書が発行されます。 導入したウェブサイトを訪問するとアドレスバーは緑色になり、また運営組織名が表示されます。

確認項目
ドメインの使用権
組織の法的実在性
組織の物理的実在性
組織の運営
承認者・署名者の確認
アドレスバー表示
アドレスバー・鍵マークが緑 運営組織名が表示
証明書の仕様
SSL暗号化通信
緑のアドレスバーに運営組織名が表示
主な利用場面
・オンラインショップ
・ネット銀行/ネット証券

なぜ、SSLが必要なのか

便利なウェブサービスが次々と誕生する中、ユーザが個人情報を提供する機会はますます増え、「フィッシング詐欺サイトによる個人情報漏えいなどの事例は依然として増え続けています。
一般のユーザにとっても、ウェブサイトで個人情報を提供する際に最も重要視するのが「SSLなどで個人情報の暗号化を行なっているか」で、ウェブサイトにおける「安全性」「信頼性」は必須事項です。

SSL化してるかいないかでユーザの行動は変わる

ウェブサイト利用における3つのリスク

ウェブサイト利用におけるリスクのうち、「なりすまし」「盗聴」「改ざん」は特に「個人情報の漏えい」に直結し、企業の信頼問題にも発展しかねません。

なりすまし

なりすましは、第三者が正当な取引主体になりすまして、取引を行うといった行為です。なりすましの主な事例は「フィッシングサイト」です。

盗聴

盗聴は、インターネット上でやり取りされる個人情報や決済情報、Cookieなど、悪用される危険性のあるデータを第三者が盗み見する行為です。

改ざん

改ざんは、ユーザ登録や注文画面などで入力した内容等を、悪意ある第三者が途中で書き換える行為です。

ウェブサイトへのSSLサーバ証明書導入は、インターネット上での「なりすましサイト」「フィッシング」などと呼ばれるウェブサイトを使った詐欺対策に有効です。

SSLの活用・最新動向

常時SSL化とは

ウェブサイトのすべてのページを暗号化(SSL/TLS化)することを常時SSL(Always On SSL)といいます。
常時SSLは、ウェブサイト内のログインページやフォームなど特定のページだけでなく、その他すべてのページをSSL/TLS化することで、ログイン情報や決済情報だけでなく、Cookieへの不正アクセス(盗聴)も防止することができます。
常時SSLとは?メリットと注意点

常時SSL化とは

SSL/TLSの拡張仕様「SNI(Server Name Indication)」とは

SNI(Server Name Indication)は、「1台のサーバで異なる証明書」を使い分けることができます。
SSL/TLSの「1つのサーバで同じIPアドレスにつき1ドメインの証明書しか使えない」は、常時SSL化が推奨され今後さらにSSLの需要が増えると予想される状況においては、いずれIPアドレスの枯渇が懸念され、このSNIに注目が集まっています。
SNIを導入すると「1つのサーバで異なる証明書の使い分け」が可能となります。また訪問者にとっては「SSLだけ突然別のサイトに飛ばされる」違和感が無くなり、運営者にとっても、SSLが必要なウェブサイト増える都度IPアドレスを準備する手間が減り、IPアドレスの節約にも繋がるメリットがあります。

SNI(Server Name Indication)

共用ドメインSSLを使う時の注意点

レンタルサーバなどで提供されている共用SSLは、同じホストのユーザで1つのSSLサーバ証明書を使用しています。認証局発行のSSLサーバ証明書とは違い、導入コストもかからず、面倒な手続きも不要で、手軽にSSL暗号化通信ができるメリットがあります。一方で、元のページからSSLのあるページへ移動すると、元とは違うドメインになるため、ユーザによっては違和感や不安感を抱いてしまう場面が想定されます。

共用ドメインSSLを使うと

SHA-1・SHA-2(SHA256)とは

SHA-1・SHA-2とは、ハッシュ関数の種類で、改ざん検知に利用される署名アルゴリズムのことです。SHA-1とSHA-2でハッシュ値の長さが異なり、 ハッシュ値が短いと同一のハッシュ値を持つデータが発見される可能性が高くなり、安全性が低下します。
弊社で発行しているSSLサーバ証明書のハッシュ関数は、SHA-2(SHA256)になります。
SHA-1からSHA-2への移行について

RSA鍵1024bitの問題

1024bitRSA鍵をはじめとする従来の暗号技術の脆弱性が指摘され、2010年末を境に、2048bit以上の鍵長の鍵を使用することが、NIST(アメリカ国立標準技術研究所)やその他各国政府に推奨されるようになりました。グローバルサインでも既に1024bitRSA鍵でのSSLサーバ証明書発行は停止しております。
RSA鍵1024bitの問題

【関連情報】PKI・電子証明書入門

PKIとは?

公開鍵と秘密鍵

PKI(公開鍵暗号基盤)は、公開鍵と秘密鍵のキーペアからなる公開鍵暗号方式という技術を利用し、インターネット上で安全にやりとりを行うセキュリティのインフラ(基盤)のことです。

電子証明書とは

電子証明書とは

電子証明書は、電子の世界で持ち主の情報を証明することができます。電子証明書を導入することで、「なりすまし」「改ざん」「事後否認」「盗聴」といったリスクを未然に防ぎます。

認証局(CA)とは?

電子証明書とは

認証局(CA:Certification Authority)の役割は、電子証明書を発行することと、失効させることです。

PDF資料を配布しております

サービスカタログ

  • グローバルサイン総合カタログ
  • サーバセキュリティサービスカタログ

関連資料

  • 初めての方でもわかるSSL/TLSのキホン 徹底解説
  • 常時SSLのススメ メリットと注意したいポイント

SSLに関する資料ダウンロードはこちら

電話:03-6370-6500(受付:平日10時〜18時)
ページのトップへ戻る