今、世界でSSL化(Https化、通信暗号化)の波が押し寄せています。検索サービスの大手であるGoogleは、Webサイトの常時SSL化を推進しており、日本でも日本国内でもポータル最大手の Yahoo! JAPAN は、 2017年3月に全サービスの SSL 化を実施しました。その他、有名自動車・家電メーカーなども常時 SSL 化を実施しており、今後多くの企業がSSL化を進めていくものと思われます。SSL化はどのように進めていけばよいのでしょうか。ここでは、具体的な手順と失敗しないSSLのために知っておきたいポイントを解説します。
1. SSL証明書とは
1-1 SSLサーバ証明書とは
SSLサーバ証明書は、実は誰でも作ることができます。そのため、常時SSL化されたホームページでも社内にのみ公開しているページや、入力エリアのないページなどに自社製SSLサーバ証明書を使うケースもあります。しかし、こうした証明書は信頼性が高いとはいえません。
そこで、安全で信頼性の高いSSLサーバ証明書を発行する「認証局」(CAとも呼ばれます)というものがあります。認証局は、第三者機関によって安全性や信頼性が証明されているので安心です。しかし、だからといって認証局が発行するSSLサーバ証明書なら、どれも安全というわけではありません。SSLサーバ証明書にも種類があるためです。
1-2 SSLサーバ証明書の種類
SSLサーバ証明書は、一般的に「ドメイン認証(DV)」「企業認証(OV)」「EV認証(EV)」の3種類があります。その違いは信頼性です。認証局にSSLサーバ証明書を発行してもらうときに、DV証明書はそのドメインがあるかどうかの確認しかしません。OVはその企業が実在するかどうかを確認し、EVではその企業について厳格な調査を行います。DV<OV<EVの順に信頼性が高くなるわけです。
※費用は認証ブランドや契約条件によって幅があります
1-3 DV証明書
DV証明書のDVは「Domain Validation 」の略で、申請者のドメインが実在するかどうかのみを確認します。ドメインさえ取得しておけば審査をパスすることができ、しかも証明書の費用が年間3万円前後と安価で、最近では無料のものも登場しています。このため、サイバー犯罪者が導入するケースも増えています。正式なWebになりすましたフィッシングサイトでも、SSL/TLS化されていれば安全と判断するユーザーが多いためです。
1-4 OV証明書
OV証明書のOVは「Organization Validation」の略で、ドメインだけでなくWebサーバ運営者の実在性も確認します。申請の際には、登記簿謄本や企業などの実印を押印した申請書、実印の印鑑証明書が必要になります。認証局は、会社や団体の実在確認だけでなく、申請者がその組織かどうかを問い合わせて確認します。年間費用も5万円前後と高くなりますが、その分サイバー犯罪者も手を出しにくく、DV証明書よりも高い信頼性があるといえます。
1-5 EV証明書
EV証明書のEVは「Extended Validation」の略で、他の証明書よりも厳格な確認が行われます。OV証明書と同様の確認に加え、例えば申請責任者と技術担当者の任命が必要で、認証局は設立日や銀行との取引状況まで調べます。こうした審査に統一基準があることもEV証明書の特徴となっています。年間費用も10万円前後と他の証明書に比べて高価で、それだけ信頼性も高くなります。また、より強力な暗号方式を選ぶこともできるケースもあります。
2. 証明書の選択
2-1 どの証明書を選択すべきか
まず、自社のWEBサイトのページを棚卸しましょう。そのうえで各ページの重要性を3分類していきます。暗号化機能の差はほとんどありませんのでページに応じて使い分けをするなどしていきましょう。
以下では、どのようなサイトにどの証明書を適用すればよいか理由と共に具体的に見ていきます。
2-1-1 DV証明書
DV証明書は無料のものもあり、「なりすまし」の危険性があるため、対外的なページには使用せず、企業内でしか使用しないページに適用すると良いでしょう。
2-1-2 OV証明書
実在性の証明をする機能を持つため、資料請求ページやお問い合わせフォームなどに利用されます。個人情報を扱う場合はEV証明書を適用したほうが望ましいため、OV証明書は個人情報などの入力エリアのない外部公開向けページに適用します。
2-1-3 EV証明書
EV証明書が導入されているページにアクセスするとブラウザのアドレスバーが緑色になり、運用団体名が表示されるなど安全なサイトであることがユーザーに分かりやすく表示されます。EV証明書は他の証明書よりも信頼性が高く、高度なセキュリティを要求されるログインページやユーザー登録ページ、決済ページなど、個人情報や重要な情報を入力するページに適用します。
EV証明書はブラウザのユーザーが訪問した際、アドレスバーが自動的に緑になり、安全性をアピールできますが、コストもかかりますので、予算とのバランスも見て分類を決めていきましょう。
このようにページの特性に合わせて3種類のSSLサーバ証明書を上手に活用することで、常時SSL化を効率的に行い、全体的なコストを抑えることができます。
2-2 ワイルドカード証明書
SSLサーバ証明書には、証明書の枚数を抑えてコストを最適化できるものもあります。例えば「ワイルドカード証明書」では、本来はひとつのドメインに属する複数のサブドメインごとに必要な証明書を、1枚の証明書で適用できます。具体的には、Webサーバ用に「www.xxx.jp」、メール用に「mail.xxx.jp」、オンラインストア用に「shop.xxx.jp」というドメインがある場合、証明書のコモンネームを「*.xxx.jp」と設定することで、サブドメインもまとめてSSL/TLS化できます。
例えば同一ドメイン内に5個のサブドメインで構成されたサイトがある場合、
・ワイルドカード証明書でまとめた場合:100,000円
・5枚の証明書をそれぞれ購入した場合:単価30,000×5枚=150,000円
となり、ワイルドカードのほうがお得になります。逆の場合は個別に購入したほうが良いことになります。ただし、契約条件等により単純計算通りにならないこともありますので、購入時にどの組み合わせが最安値なのかしっかり確認しましょう。
2-3 マルチドメイン証明書
「マルチドメイン(SANs)証明書」では、複数の異なるドメイン名を1枚の証明書でカバーできます。例えば、企業サイトとサービスのブランドサイトを異なるドメイン名で運用している場合に有効な証明書です。こうした証明書を組み合わせることで、証明書とコストを最適化できるのです。
通常は1枚にまとめたほうがライセンスコスト・管理コストを抑えることができます。ただしこちらも条件や組み合わせによりますので、対象サイトを整理したうえで組み合わせをシミュレーションしたほうが良いでしょう。
3. 証明書の導入手順
証明書の選択について整理ができたら実際の導入を進めていきます。
詳細は申込をする認証局や担当代理店などによって異なることもありますが、SSL証明書のおおまかな導入ステップは以下のようになります。
実際にSSLサーバ証明書を導入する際には、一般的に「CSRの作成」「SSLサーバ証明書の申し込み」「必要書類の送付」「SSLサーバ証明書の発行」「サーバへのインストール」の5段階の手順を踏みます。提供会社によっては、導入のためのマニュアルが用意されていたり、導入前に相談できるアセスメントサービスや、導入について詳しく教えてくれる導入支援サービスなども提供されていますので、こうしたサービスを利用するのもひとつの方法です。
以下に一般的なフローを記載します。
3-1 CSR(証明書署名要求)の作成
CSRは証明書発行の申請をする際に必要になります。CSRは「Certificate Signing Request」の略で、SSLサーバ証明書を発行するための証明書署名要求のことです。申請書のようなもので、DV証明書、OV証明書、EV証明書によって記入内容が異なります。
3-2 SSLサーバ証明書の申込
3-1で作成したCSRを認証局へ提出し、証明書発行の申請をします。SSLサーバ証明書を提供するサービスのほとんどは、Web上で申し込みが行えます。SSL化したいドメイン情報などを入力して作成します。
3-3 必要書類の送付
申し込みを行うと、必要な書類などの連絡がありますので、書類を揃えて送付します。
3-4 SSLサーバ証明書の発行
その書類を元に審査が行われ、SSLサーバ証明書が発行されます。
3-5 サーバへのインストール
発行された証明書はサーバなどにインストールしますが、機器などによってインストール方法が異なりますので、手順書などを参照してください。
SSLサーバ証明書の申請から発行までの期間は、サービスや申請、入金のタイミングにもよりますが、DV証明書では早ければ30分ほどで発行されます。OV証明書では約1日、EV証明書では約3営業日で発行されます。SSLサーバ証明書の期限は、基本的には1年ですが、3年間有効のものもあります。期限切れに注意し、更新する際には暗号についての最新の情報をチェックしましょう。
4. 後悔しないために知っておきたい注意点
4-1 サイトの規模や目的に合わせた適切な証明書を選択する
SSLサーバ証明書の認証局ブランドは国内にいくつかあります。代理店を経由することで公式な金額よりも安く購入することもできますが、代理店によっては10数万円のSSL証明書の提案をされ、トータルで高額になるケースもあります。そもそも証明書の種類はあくまでもサイトの信頼性を伝えることが目的であり、高い証明書を使ったからといって安全性が高まるということではありません。証明書の選択の章でも説明した通り、サイトの状況を整理して、どの部分にどの証明書が必要なのか、マルチドメイン証明書などを活用してコストを最適化できないかを検討しましょう。
いずれにしても、サイトの規模や目的に合わせた適切な選択をすべきです。
4-2 SSLの際は301リダイレクトを忘れずに
4-2-1 301リダイレクトとは
301リダイレクトとはURLが変更された場合に用いられる転送処理のステータスコードで、サイトのドメイン自体が変わる場合など恒久的な変更が入る場合に使われます。(転送のステータスコードで302リダイレクトがありますが、こちらは一時的な転送となります)
301リダイレクトを設定しておけば、従前のサイトでお気に入り登録 していた人がhttpのほうにアクセスしてもHttpsのほうに強制的に遷移させてくれます。
4-2-2 SEO上の効果
301リダイレクトを使うと、Googleなどの検索エンジンは従前のURLが持っていた被リンク等の評価を引き継ぎます。逆にこれをしておかないとSEO資産を正常に引き継ぐことができないので各ページの検索結果表示ランクの低下やPV数の激減などかなりの痛手を負ってしまうことになります。
4-3 ソーシャルのカウントがリセットされる
既存サイト(Httpサイト)をSSLする際のデメリットといえるのがソーシャルメディアで獲得した「いいね!」などのカウントがなくなってしまうことです。これはURLが変わってしまうためで、SSLをした場合は避けられません。早くSSL化したほうが後からSSL化したサイトよりは有利、と考えて早めにSSL化をしていきましょう。
4-4 導入後も証明書の期限を必ず確認する
そのサイトの証明書の有効期限が切れた場合、そのページを開こうとしたときに「このWebサイトのセキュリティ証明書には問題があります。」といった表示がされてしまいます。こうなってしまうとユーザーから見た時にサイトの信頼性低下を招き 、ページビューが落ち込むなどマイナスの影響が出ます。
有効期限は証明書によりますが概ね1年~2年程度のことが多く、有効期限が切れる1か月以上前から登録しているメールアドレスに予告メールが送られてきます。メールアドレスを変更していて届かなかった、担当者が退職して誰も気づかなかったということがないように注意して、忘れずに更新手続きを行いましょう。
5. 常時SSL化に潜むリスク
現在、世界中でSSL化が進んでいます。アメリカではすべての政府機関で常時 SSL 化が義務付けられ、世界のインターネット大手のGoogleもSSL化を推し進めています。日本でも2017年3月に Yahoo! JAPAN が全サービスの SSL 化を実施しています。2018年3月時点で世界のインターネット上の通信のうちSSL 通信は60%を超えています。
しかし、通信がSSL化されることはサイバーセキュリティ上の脅威の在り方を変える可能性もあります。通信されているURLが暗号化されることで、URL情報の取得・検査が困難になりWebゲートウェイでのセキュリティ対策として従来行ってきたURLフィルターやコンテンツフィルターなどのチェックが難しくなります。これを悪用してSSL通信を介した攻撃も増加しています。
SSL化は自社サイトに訪問してくるユーザーの安全という視点ではメリットをもたらしますが、社員の安全なWebブラウジングやサービス活用では通信の暗号化を悪用されるリスクもあります。これからは、WebゲートウェイレベルでのHTTPS通信のスキャニングを含めた対策の検討が必要と言えます。
6. まとめ
常時SSL化の波は世界的な潮流ですので、WEBサイトを運用する以上、対応していくことは避けられないといえます。しかし、無計画にSSL化することだけを目的に導入を進めてしまうと失敗することもありますので、SSLに向けたサイト構造の整理やSSL化のリスクも理解してスムーズな導入を進めていきましょう。
著者:マカフィー株式会社 マーケティング本部
