本ブログのURLは https://tech-up-now.com/ ですが、この https という部分のために、SSL証明書を導入しています。
本記事では、SSL証明書をどのように用い、どのようなメリットがあるのかを解説していきます。
コンテンツ
HTTPS通信とは
HTTPS とは、Webサイトの閲覧に用いられる HTTP を安全に利用するためのプロトコルです。
ベースとなる HTTP では、すべての通信が暗号化や認証の仕組みを経ずにやりとりされているため、外部から通信を覗き見たり、通信内容を改ざんしたりできる可能性がありました。HTTPS では暗号を利用して、通信の暗号化や内容の認証、さらに通信相手の認証を行えるようにしました。
この暗号を利用した安全にやり取りする仕組みを SSL/TLS と呼びます。
なぜHTTPS通信が重要なのか
通販サイトを例にして説明しましょう。
通販で買物をする時、クレジットカードや住所などの漏れては困る情報を扱います。HTTPでは暗号化されていないため、通信経路に悪意ある人がいれば、その人に情報を盗み見られてしまうリスクがあります。あるいは、通販サイトにアクセスしているつもりが実は別のサイトに誘導されていて、情報だけ盗み取る詐欺サイトに情報を打ち込んでいた、という事態も考えられます。もしくは、本当の通販サイトではあったものの、ページに細工をされていて、情報を外部へ送信するように改造されているかもしれません。
このようなときに、通信の暗号化(私と通信相手にしか内容がわからない)、通信相手の認証(通信相手がたしかに意図した相手である)、内容の認証(内容が細工されておらず、相手の意図したとおりのものである)が役に立つのです。
SSL証明書とは
このような安全な通信を提供する際に必要なのが、電子的な証明書で、SSL証明書と呼ばれています。Webサービス提供者が信頼のおける第三者に証明書を発行してもらい、閲覧の際に閲覧者に提示します。閲覧者のブラウザーが証明書が正しいことを確認できて初めて、暗号化した通信が行われるようになっています。ここでいう第三者が、証明書を発行する業者となり、一般的にはブラウザーが信頼している業者となります。
証明書を取得する
証明書を取得するには、取り扱っている業者と契約して、証明書を発行してもらう必要があります。
証明書は、秘密鍵、証明書要求、公開鍵の三つの部分から構成されていて、申請者が秘密鍵、証明書要求を用意し、公開鍵を発行してもらいます。
発行してくれる業者には、証明書のみを取り扱っている業者もありますが、レンタルサーバーの業者が提供している場合もあります。サーバー側の設定が簡略化されるなど便利な場合もあります。
証明書を設定する
証明書を発行してもらったら、これをサーバーに設定し、実際の通信に用いられるようにします。レンタルサーバーの場合、持ち込み証明書の設定、などの項目から設定できるかもしれません。設定を誤ると正常に通信できません。可能であればレンタルサーバーの業者に証明書の発行も依頼したほうが、簡便でよいかもしれません。
HTTPS通信のWebブラウザーでの表示
SSL証明書を導入し、HTTPS通信に対応させた場合、Webサイトにアクセスすると、Webブラウザー上での表示が少し変わります。
次のように「保護された通信」のような、安全性をアピールするアイコンやテキストが追加されます。(図はOperaの場合。)
最近のトレンド
かつてHTTPSは、入力画面やログイン画面など、大切な情報を扱うページだけピンポイントで使われていました。しかし最近では「常時SSL化」という、ページ内容にかかわらず全てのページを SSL 化するのがトレンドとなっています。コンピューターの進歩により SSL 通信がさほど負荷とはならなくなったため、重要なデータだけではなく広範にセキュリティを確保するようになってきています。