WEBサイトをオープンするにあたって、今やSSLの導入は必須になりました。
元々、SSLはセキュリティ対策の為の仕組みでしたが、今ではSEO効果も期待できます。
“WEBサイトの運営を検討されている方“や”自サイトにまだSSLを導入されていない方“は、必ず設定するようにしましょう。
因みに、SSLという言葉を使っていますが、正確には、現在使用されているのはTLSという仕組みです。
その為、「SSL/TLS」という表記をされているメディアなども多いです。
そこで、今回は”SSLとTLSの違い“、”SSLの役割“、また”SSL証明書のタイプ(認証レベルの違い)“などを中心に詳しくまとめていきます。
SSLについて詳しく知りたい方は、当ページを最後までチェックしてみてください。
SSLについて
SSLとは、「Secure Sockets Layer」の略になります。
インターネット上でやり取りするデータを暗号化してくれる仕組みで、安全にWEBサイトの閲覧を行うことができます。
ただ、SSLという仕組みには、対応が困難な欠陥が見つかり、現在は廃止されています。
現在、SSLと言っているのは、正確にはTLS(Transport Layer Security)という仕組みです。
ですが、既にSSLという名称が浸透していたために、そのまま「SSL」や「SSL/TLS」と表現したりします。
また、後ほど詳しく説明しますが、SSLを利用するには、SSL証明書の発行が必要になります。
このSSL証明書は、発行元によって認証作業が行われますが、その認証レベルの違いによりSSLは3つのタイプに分けられます。
SSLとTLSの違い
TLSは、SSLの欠陥をカバーするために一から設計された仕組み(プロトコル)です。
SSLと別目的で作られたものではなく、TLSは、SSLの後継バージョンとお考えください。
その為、SSLとTLSの役割に違いはありません。
いずれも、インターネット上で送受信するデータの暗号化がメインになります。
また、SSLには3つのタイプがあり、WEBサイト運営元の存在証明まで行えるSSLもあります。
※SSLの3つのタイプについては、後ほど説明します。
SSLには様々な役割がありますが、基本的にSSLとTLSは同じものとお考えください。
SSLの主な役割
SSLの主な役割は、インターネット上で送受信するデータの暗号化になります。
途中で悪意のある第三者に盗み見られても、暗号化されたデータは解読されることが無くなります。
その為、本来のSSLの役割は、セキュリティ対策になります。
また、今では、SSLの設定(常時SSL化)には、SEO対策という側面もあります。
さらに、SSLを利用するあたって発行される証明書には、ドメイン所有権やWEBサイト運営元の実在性の証明という役割もあります。
まとめておくと、SSLの主な役割は、この3つです。
- セキュリティ対策(データ暗号化)
- SEO対策
- 実在性の証明
セキュリティ対策(データ暗号化)
上記でも説明したように、SSLの本来の役割は、インターネット上でのデータの暗号化です。
元々は、個人情報の入力フォームやクレジットカード・銀行口座などの情報を入力する決済フォームで利用されていました。
例えば、お問い合わせフォームを想像して貰えると分かりやすいです。
お問い合わせフォームに「名前」や「住所」、「電話番号」などのデータを入力して、「確認画面へ」というようなボタンを押しますよね。
そうすると、フォームに入力したデータは、一旦サーバー上に送られて諸々の処理を行った後に、確認画面が表示されます。
このサーバー上に送る際に、悪意のある第三者によってデータが不正に抜かれてしまう可能性もあります。
そこで、データを暗号化しておくことで、仮にデータが不正に抜かれても、第三者に見られるのは暗号化データになります。
暗号化されたデータは解読が困難になるので、これにより安心してインターネット上でデータのやり取りを行えるようになります。
要は、「盗聴」「改ざん」「なりすまし」などの対策のためのプロトコル(通信方式)がSSLになります。
その為、本来はセキュリティ対策がSSL導入の目的となります。
SEO対策
以前は、SSL証明書の購入にはすごくお金が掛かっていたので、SSLの導入は大手しか行っていませんでした。
ですが、Googleが、WEBサイトにSSLを導入する(HTTPS通信にする)ことでSEO上優位にするという施策を取りました。
それにより、より安全にWEBサイトを閲覧できるような環境を整えたかったのだと考えられます。
それ以降に、WEBサイトへのSSLの導入が爆発的に増え、今ではSSLの設定が当たり前になりました。
最近では、無料SSL(Let’s Encrypt)の登場や、格安SSLの登場で、誰でもWEBサイトへSSLを導入できるようになりました。
今では、レンタルサーバーのコントロールパネル上から簡単にSSLのインストールを行えるようになっています。
それにより、初心者の方でも簡単にSSLを利用できるようになりました。
因みに、SSLの設定と言っても、SSLをインストールしておけばいいということではないので注意してください。
SSLインストール後に、必ず常時SSL化(HTTPS通信の強制化)の設定を行っておく必要があります。
SSLをインストールしただけでは意味が無く、必ず「https://~」というURLで通信を行う必要があります。
もし「http://~」へアクセスしても、「https://~」へ強制的にリダイレクト(常時SSL化)を行うように設定を行っておきましょう。
常時SSL化(HTTPS通信)の設定は、一般的に.htaccessを使って行います。
また、WordPressを利用している場合には、プラグインを利用して設定することもできます。
実在性の証明
SSLを利用するには、SSL証明書の発行が必要になります。
この証明書を発行するにあたっては、発行元による認証作業が発生します。
その認証レベルによって証明される範囲は異なりますが、それにより、SSLはドメイン所有権の証明や運営元組織の実在性の証明という役割を持つことにもなります。
一般的に、SSLの役割というと、データの暗号化やSEO対策が注目されがちですが、この実在性の証明も重要なので、チェックするようにしましょう。
※認証レベルの違いについては、後ほど詳しく説明します。
SSL証明書のタイプ(認証レベルの違い)
SSL証明書は、認証レベルの違いによって以下の3つのタイプに分けられます。
- ドメイン認証(DV)
- 企業認証(OV)
- EV認証(EV)
多くのWEBサイトで導入されているのはドメイン認証タイプのSSLで、ドメイン所有権の証明がメインの役割になります。
ただ、さらに上位の認証レベルのSSLを利用する場合には、企業認証タイプやEV認証タイプのSSL証明書を利用することもできます。
ただし、企業認証SSLやEV認証SSLは、証明書が非常に高価で、また個人では利用することができません。
基本的には企業や、特に安全性を確保しないといけないようなWEBサイト(ECサイトなど)で利用されることが多いです。
「ドメイン認証」→「企業認証」→「EV認証」の順番に認証レベルが上がり、SSL証明書の信頼性が高くなります。
ただ、SSLの本来の役割である“インターネット上で送受信されるデータの暗号化“に関しては、いずれのタイプのSSL証明書を利用しても違いはありません。
また、SEO効果についても、SSL証明書のタイプによる違いはありません。
ドメイン認証SSL(DV)
ドメイン認証SSLは、ドメインの所有権を確認して発行されます。
その為、ドメイン所有権の証明のみの最もシンプルな認証レベルのSSL証明書になります。
また、認証作業はメールなどで行うことができ、数分で証明書を発行できるサービスが多いのもポイントです。
レンタルサーバー(共用サーバー)利用者であれば、サーバーのコントロールパネル上から簡単にインストールできるようになっていることも多いです。
最近では、格安SSLや無料SSL(Let’s Encrypt)も登場して、誰でも気軽に利用しやすいのがドメイン認証SSLの特徴ですね。
因みに、無料SSLとして知られている「Let’S Encrypt」はドメイン認証SSLになります。
また、企業認証SSLやEV認証SSLは、個人で運営するWEBサイトでは発行することができません。
その為、個人で運営するWEBサイトで使用されているSSL証明書は、基本的に全てドメイン認証SSLになります。
企業認証SSL(OV)
企業認証SSLでは、ドメイン所有権に加えて、WEBサイト運営組織の実在性まで証明することができます。
実在性の証明では、帝国データバンクなどの第三者データベースに紹介を行い、“法的“に存在している組織であるかをチェックします。
また、第三者データベースに記載されている電話番号への確認を行われる場合もあります。
このレベルのSSL証明書になると、WEBサイトの運営元を隠すことができなくなります。
その為、WEBサイトの信頼性も非常に高くなり、ユーザーが安心して利用できる環境を構築することができます。
中小企業の場合には、ドメイン認証SSLを利用されていることも多いです。
ですが、本来、企業でWEBサイトの運営を行う場合には、企業認証SSLを導入して、より安全にWEBサイトの運営を行うことが理想です。
さらに、企業認証SSLは、企業サイトだけでなく、ECサイトや会員制サイト、決済・支払いが発生するWEBサイトにおすすめです。
EV認証SSL(EV)
EV認証SSLは、企業認証SSLの強化版とお考えください。
WEBサイト運営組織の実在性をより詳細にチェックすることで、“法的“にも“物理的“にも組織が存在していることを証明できます。
企業認証SSLも、帝国データバンク等に照会を行っており、非常に信頼性の高い証明書です。
ですが、より信頼性の高い証明書が必要な場合には、このEV認証SSLがおすすめになります。
ただ、EV認証SSLの証明書発行は、価格が非常に高いのがデメリットで、年間で数十万円するサービスもあります。
その為、中小企業の場合には、なかなか手を出しづらいですね。
基本的には、例えば、金融機関や公的機関、教育機関などのWEBサイトで利用するのがおすすめです。
また、知名度の高い企業やブランドのWEBサイトにもおすすめです。
SSL証明書の認証タイプの違いを比較
最後に、各認証タイプの違いを表にして比較してみましょう。
ドメイン認証(DV) | 企業認証(OV) | EV認証(EV) | |
---|---|---|---|
価格 | 安い (無料の証明書もある) | 高い 5~10万円程度 | 非常に高い 10万円~数十万円 |
証明書発行に掛かる時間 | 数分~1営業日程度 | 1~3営業日程度 | 10営業日程度 |
信頼性 (認証レベル) | ☆ | ★★ | ★★★ |
認証内容 | ・ドメイン所有権の証明 | ・ドメイン所有権の証明 ・運営組織の実在性証明(法的) | ・ドメイン所有権の証明 ・運営組織の実在性証明(法的・物理的) |
おすすめサイト | ・個人サイト ・個人ブログ ・アフィリエイトサイト など | ・ECサイト ・会員制サイト ・企業サイト など | ・公的機関のサイト ・金融機関のサイト ・教育機関のサイト ・知名度の高い企業のサイト など |
証明書の価格に関しては、ドメイン認証SSLであれば1,000円程度の格安SSLもありますが、高いサービスだと数万円の証明書もあります。
また、企業認証SSLやEV認証SSLも、発行元によって価格は大きく異なりますが、企業認証SSLであれば一般的に10万円以下で利用できます。
ですが、EV認証SSLに関しては、高いサービスになると年間で数十万円かかる証明書もあります。
申し込みからSSL証明書の発行に掛かる日数は、あくまで目安になります。
もし正確な日数を知りたい場合には、購入を検討しているSSL証明書の発行元に問い合わせてみましょう。
SSL証明書の種類
SSL証明書は、対応している範囲によって、以下の3つの種類に分けることもできます。
- シングルドメイン証明書
- ワイルドカード証明書
- マルチドメイン証明書
それぞれのSSL証明書の購入費用も大きく異なり、有料SSLの利用を検討される場合には意識しておくべき内容になります。
ただ、レンタルサーバーの無料SSLを利用する場合には、サーバーのコントロールパネル上からボタン一つでSSLをインストールできます。
なので、あまり意識しなくても問題のない内容にはなります。
ですが、せっかくなので、興味のある方はチェックしてみましょう。
シングルドメイン証明書
一般的に、SSLというとシングルドメイン対応のSSL証明書を使用していることが多いです。
1つのドメイン(もしくはサブドメイン)にのみ対応しており、SSL証明書の購入費用も比較的安いです。
このように、ドメインもサブドメインも、それぞれに証明書の購入が必要になるイメージです。
ワイルドカード証明書
ワイルドカード証明書とは、サブドメインにまで対応したSSL証明書です。
例えば、「example.com」というメインドメインがあると、「sub1.example.com」や「sub2.example.com」といったサブドメインにも対応することができます。
サブドメイン毎にSSL証明書を発行・購入する必要が無く、手間も費用も抑えることができます。
また、対応できるサブドメインの数にも上限が無いのが特徴です。
ただ、シングルドメイン証明書と比べると料金がかなり高くなります。
サブドメインを1つや2つしか発行しない場合には、逆に購入費用が高くなる可能性もあります。
マルチドメイン証明書
マルチドメイン証明書は、複数のマルチドメインに対応したSSL証明書です。
1つのSSL証明書の購入で複数ドメインに対応しているので、複数ドメインを取得してWEBサイトを運営される方におすすめです。
ただし、サブドメインには対応していないので、その点はデメリットです。
また、やはり、シングルドメイン証明書と比べると料金がかなり高くなります。
ドメインを1つや2つしか利用しない場合には、逆に購入費用が高くなる可能性もあります。
ワイルドカード・マルチドメイン証明書
ワイルドカード証明書は、サブドメインにまで対応したSSL証明書です。
逆に、マルチドメイン証明書は、複数ドメインには対応していますが、サブドメインには対応していません。
そこで便利なのが、ワイルドカードにもマルチドメインにも対応したSSL証明書です。
SSL証明書の購入費用はかなり高くなりますが、大量のWEBサイトの運営を行われる方は検討してみましょう。
ドメインやサブドメイン毎にSSL証明書を購入するよりは、かなりコストを抑えられます。
最後に!
今回は、SSLについて詳しく紹介しました。
現在利用されているのは、正確にはSSLではなくTLSというプロトコルです。
その為、SSL/TLSと表現することも多いです。
SSLの本来の役割は、インターネット上でやり取りするデータの暗号化です。
それにより、ユーザーは安全にWEBサイトを閲覧・利用することができます。
また、最近では、SSLはSEO的な役割も持つようになりました。
さらに、SSLをインストールするのに必要となるSSL証明書には、認証レベルの違いによってドメイン認証、企業認証、EV認証の3つのタイプがあります。
この認証により、SSLにはドメイン所有権や運営元組織の実在性の証明という役割もあります。
SSL証明書は、認証レベルによって価格も大きく異なり、信頼性も異なります。
有料のSSLを利用する場合には、この証明書の認証レベルにも注目して選ぶようにしましょう。