常時SSL化がもたらす効果と運用における注意点

2018.10.02

SSL/TLSとは

WebサーバとWebブラウザ間の通信において、送受信される内容を保護するために使われているのがSSL（Secure Socket Layer）、またはTLS（Transport Layer Security）です（以降、SSLおよびTLSともSSLと表記）。これは通信相手の正当性を確認し、さらに通信内容を暗号化するためのプロトコルであり、Eコマースサイトなど多くのWebサイトで使われています。一般的に、SSLで保護された通信はHTTPSと呼ばれ、URLは「https://」から始まります。

このHTTPSによる暗号化処理には相応の負荷が生じるため、これまでは多くのWebサイトが保護すべき情報が送受信されるページでのみ利用していました。たとえばEコマースサイトであれば、送付先やクレジットカード情報を入力するページのみHTTPSで保護するといった形です。しかし現在では、そもそも個人情報などを入力しない一般の企業サイトなどを含め、多くのWebサイトがすべてのページがHTTPSとなっていることが少なくありません。このようにすべてのページをHTTPS化することを「常時SSL」などと呼びます。

常時SSLが広まった背景

常時SSLが広まった理由として、2014年にGoogleが「SSLの利用有無を検索順位の判断基準に用いる」と発表したことがあります。つまりSSL使っていれば、そうでないページよりも検索順位が上位になる可能性があるというわけです。このようにSEO対策として有効であることから、常時SSLが注目を集め始めました。

さらにGoogleでは、Webブラウザである「Chrome」でもSSLの利用を促進する取り組みを進めています。具体的には、2018年7月に公開されたバージョン「68」において、HTTPSで保護されていないWebサイトの場合、URLを表示するアドレスバーに「保護されていません」という警告を表示するようにしたのです。このようにSSLを使わないWebサイトはユーザの印象も悪化することになるため、多くの企業が常時SSLに踏み切ったのです。

SSL対応と未対応のアドレスバーの表示の違い

SSL未対応のアドレスバー

HTTPSで通信が行われている場合は「保護された通信」、SSLが使われていない場合は「保護されていない通信」と表示されてしまう

常時SSL化がもたらす効果

このような施策をGoogleが実施する背景にあるのは、インターネット全体の安全性の向上でしょう。HTTPSを使えば通信内容が保護されるだけでなく、アクセスしているWebサイトのドメインが正当な保持者か、実在する企業であるかなどの確認も行えます。

HTTPSを利用するには、WebサーバにSSL/TLSサーバ証明書をインストールする必要があります。この証明書にはいくつかの種類がありますが、特に「EV SSL」と呼ばれる証明書であれば、正当なドメインの所有者であること、発行を依頼した企業が実在することまで確認することが可能です。

このようにWebサイトの運営企業を確認できることから、SSLの仕組みはフィッシング詐欺対策として極めて有効です。大企業の名を騙って「パスワードの確認が必要」などのメールを送り、偽のWebサイトに誘導して個人情報を窃取するフィッシング詐欺は社会的な問題となっています。しかし誘導先のWebサイトでSSL/TLSサーバ証明書が使われておらず、なおかつ本物のWebサイトではSSL/TLSサーバ証明書を使っていれば、誘導されたWebサイトは怪しいと判断できます。

常時SSLの運用における注意点

SSLサーバ証明書を導入して常時SSL化を果たすには、第三者機関の認証を受けてSSLサーバ証明書を発行してもらう必要があるほか、それをWebサーバにインストールする必要があります。このインストール作業では、サーバへのSSL/TLSサーバ証明書のアップロードに加え、Apacheなど利用しているWebサーバソフトウェアの設定ファイルも修正しなければなりません。

SSLやTLSの仕組みに脆弱性が発見されたときの対処も欠かせません。実際、SSLに絡む脆弱性として2014年に発見された「Heartbleed」や「POODLE」は、大きな影響を及ぼすことになりました。このような設定、あるいは脆弱性が発見されたときの対応に自信がなければ、外部の専門家の手を借りるといったことも視野に入れるべきでしょう。

Webサイトの公開に利用できる昨今のホスティングサービスやクラウドサービスは、その多くが常時SSLに対応していますが、注意したいのはネットワーク回線です。サービスによってはネットワークの帯域が十分ではなく、アクセスしてもレスポンスが悪いといったことが起こりえます。またクラウドサービスでは従量課金制の場合もあり、多くのユーザーがアクセスして多額の課金が発生するといったことにも注意しなければなりません。

SSL/TLSサーバ証明書の発行からSSLの運用までをサポートするマネージドサービス

一方、リンクの「ベアメタルクラウド」は、10Gbpsの回線バックボーンを備え、なおかつ1アカウントあたり月間平均100Mbpsまで無料で利用することが可能です。さらに証明書の発行からインストール、証明書の更新、脆弱性の対応までを含めた「SSL証明書マネージドサービス」も提供しており、安心して常時SSL化に踏み切れます。

こちらのサービスでは、ドメイン認証型と企業認証型の２つの証明書タイプの発行に加え、証明書のインストールから証明書の更新・脆弱性の対応を含めたマネージドサービスをセットで提供しています。リソースに限りのあるお客さまでも運用を意識することなくご利用いただけます。

サービスの詳細については、こちらをご覧ください。→　SSL証明書マネージドサービス

常時SSLで公開するWebサイトを選択する際は、ネットワーク回線やSSLの利用をサポートするサービスの存在についてもチェックしましょう。