SSLの種類と認証方法

SSLの種類と認証方法

SSLはインターネット上でやりとりするデータを暗号化し通信するための規格です。近年ではWebサイトのすべてのページを暗号化する「常時SSL化」が注目されています。

2014年にはSSLの実装状況が検索結果に影響を及ぼすことをGoogleが公式発表しており、SEO対策としても重要な項目となっています。

また、ブラウザ(インターネット上でWebサイトを回覧する為のソフト)となるGoogle ChromeやFirefoxでは、非SSL化のページにアクセスすると警告が出るようになりましたので、Webサイトを保有、維持していく上では今後ますます常時SSL化が重要となってきます。

今回は、Webサイトでこの常時SSL化を行うために必要なSSLの種類と認証方法についてご紹介します。

SSLとは

SSL(Secure Sockets Layer)とはデータを暗号化して送受信するためのプロトコル(通信規約)のことです。SSLを利用することで、インターネット上でブラウザから入力する個人情報、クレジットカード情報などの機密性の高いデータも暗号化されているため安全にやりとりすることができます。

SSLを導入したページはURLが「https」で始まり、ブラウザのURLが表示されている部分には鍵マークが表示されます。サイト全体にSSLを導入することを「常時SSL化」といいます。

なお、TLS(Transport Layer Security)も大まかな仕組みは同じです。SSLがバージョンアップしてSSL3.0となり、このSSL3.0を元にしてTLS1.0が作られました。現在では「SSL/TLS」という表記もよく見られます。

WebページにSSLを導入するには、認証局が発行するSSL証明書を取得しなくてはいけません。SSLサーバー証明書には用途と認証レベルにより、大きく分けて「ドメイン認証型(DV:Domain Validation)」、「企業認証型(OV:Organization Validation)」、「EV認証型(EV:Extended Validation)」の3種類があります。また、SSLサーバー証明書発行の取次を行っている団体やSSLの種類によって価格形態が様々なので、導入の際は注意が必要です。基本、1年単位での更新となります。

ドメイン認証型(DV:Domain Validation)

ドメイン認証型はドメイン所有者が証明書の発行を要請することで得られる認証です。認証されるにはドメイン所有者の同意が必要です。その方法は発行会社によって異なりますが、一般には書類提出の必要はなく、ドメイン所有者へのメールでの意思確認などで承認手続きが行えます。そのため最も簡易的でスピーディー、かつ低コストで証明書が得られる認証となっています。

社内ネットワークなどの不特定多数との通信を想定しないWebページや、ネットショップであればキャンペーン告知など入力フォームを含まないWebページを暗号化する場合に向いています。維持していく際のコストもSSLサーバー証明書の中では一番安価であり、導入企業が非常に増えています。

企業認証型(OV:Organization Validation)

企業認証型は、証明書に記載されるWebサイト運営組織(企業など)の法的実在性が証明された場合にのみ得られる認証です。証明書の発行を要請すると、必要に応じて書類の提出や電話による応答が求められます。企業や各種団体の公式サイト、SNSや会員制サイトによく用いられているスタンダードな認証と言えます。お問い合わせフォームなどの入力フォームを設置してあるWebページ、ログイン画面を暗号化する場合にも向いています。

EV認証型(Extended Validation)

Webサイト運営組織に対し、企業認証よりもさらに厳格な審査と確認が行われた上で発行されるのがEV認証型です。具体的にはドメインの所有者と運営組織と法的実在性の確認のほか、組織の所在地、申し込み意思と権限などが確認されます。

この認証を導入したWebサイトでは、通常のブラウザならアドレスバーが緑色に変わり、セキュリティステータスバーにはWebサイト運営者とEV認証を行った認証局の名前が交互に表示されます。このためサイト訪問者や利用者にはフィッシングや個人情報の漏えいに関して心配する必要のない、正当で安全なWebサイトだということを示すことができます。

EV認証が向いているのはネットショップの商品受発注、カード決済、問い合わせフォーム、会員登録ページなどです。また、ネット銀行やネット証券でもEV認証型による暗号化が活用されています。維持していく際のコストはSSLサーバー証明書の中では一番高価ですが、最高レベルの認証型となるため、ナショナルカンパニーはじめ、大手企業の導入が今や一般化しつつあります。

自社のWebサイトのセキュリティを強化し、利用者からの信頼を得るために、SSLは欠かせないものです。また、SEO対策としても重要な項目であり、SSL化することで順位が上昇した場合、自社のWebサイトが閲覧されやすくなるメリットもあります。導入を検討する際、用途によって認証レベルの種類やかかる費用が違うことを理解して、運営するWebサイトに最も適したSSLを導入してください。