2017年には普及率が50%を超えると予測されているサーバーの常時SSL化・・と聞いてもピンと来ない人も少なくないと思いますので、WEBサーバーのSSL化についての話から書こうと思います。

分かりやすいところから書きますとホームページのアドレスがhttp: から始まるのか https: から始まっているかで見分けることが出来ますが、セキュリティの仕組みが高いかどうかという事です。

Google Chromeでのアドレスバーの表示 2017年2月23日現在

SSLサーバーを表示している状態
SSLで保護されたWEBサイト

http:から始まる非SSLサーバーの表示
保護されていない普通のページ

パスワードやクレジットカード情報などを入力するページにも関わらず、SSL化されていない場合の警告表示
警告を出されているWebページ

これはGoogleが全てのWebサイトをSSLサーバーにしたいとの方針により、昨年より徐々にこのような警告を出すようになっていまして、近い将来は非SSLサーバーに対する警告を強化すると予測されています。

SSL入門

通信が暗号化されてセキュリティレベルが高くなるという事は感覚的にご存知だと思いますが、もうひとつの成りすましの防止、ですとか証明書って何をするの?という事について解説します。

SSL証明書の仕組み

ある日、パンダ君が”製造の羅針盤”からお知らせのメールを受け取ってメールに書いてあったURLをクリックしてサイトにアクセスしました。

けどメールが本物かどうか不明ですからアクセスしたサイトも本物かどうか分かりません。

悩みながらアクセスしたサーバー内を見渡してみると、秘密の鍵と手紙があって「私が本物かどうかはポチ君に確認してください」と書いてあります。

ポチ君なら良く知っていますし信用できる相手ですので、早速ポチ君に秘密の鍵を見せて尋ねてみました。

ポチ:「その鍵なら大丈夫です、製造の羅針盤に間違いありませんから、証明マークを表示させましょうね」

という仕組みです。

認証局は民間機関ですから絶対ではない

この証明書を発行するポチ君というのは公的機関というわけではなく、民間機関であるということです。

ですから自分で認証局を作って自分で自分を証明する(自己証明とかオレオレ証明書と呼ばれています)事も出来てしまうという事です。

とは言ってもSSL化の流れは止まらない

先日Yahooも遅ればせながらサイトをSSLサーバーに変更するというニュースが入ってきましたが、遅れていた日本でも次々とサイトをSSL化し始めています。

何せGoogleが強力に推し進めている方針ですから、やがてSSLになっていないサーバーは検索で不利になる事も予測されています。

低価格なSSL証明書の登場が流れを作る

オレオレ証明書はさておきまして民間企業が証明書を発行する仕組みですから、様々な企業が認証局として登場してきたお陰で年間で千円程度の証明書や、無料でレンタルサーバーに”おまけ”としてついてくる証明書など、導入しないほうがおかしいという状況になってきました。

まだSSLを導入されていないのでしたら、どの道やらざるを得なくなる時期が迫っていますから、早めに検討されては如何でしょうか?