こんにちは!!!水分補給とミネラルをちゃん補給していますでしょうか。
相変わらず暑い日々が続いたり、台風で交通機関に影響が出すぎて振り回されてました。
前回は久しぶりにグルメ記事を書きました。ほっと息抜きも出来て安心しました。
そして今回は初心者向けの記事でSSL(常時https)化の仕組みとやり方について書いていきます。
また、お問い合わせフォームの作り方②に関しても作成していますのでもうしばらくお待ち下さい。
また他にもブログ関連の記事を書いてますので良かったら一緒に見ていただけたら嬉しいです。
httpとhttpsについて
httpについて
そもそもSSL化をお話しする前にhttpってご存じでしょうか?
簡単に説明するとhttp(Hypertext Transfer Protocol)は、WebサーバとWebブラウザの間で、Web情報をやりとりするためのプロトコル(通信規則)になります(http通信)
普段私たちがホームページで情報収集したり、ブログを読んだりする時、このhttpを使ってサーバーとクライアント(ユーザ)間でやり取りが行われています。
仕組みとしては情報を常に、クライアント(Webブラウザなど)が要求を出し、サーバが応答を返す形になっています。
1つの要求(リクエスト)には1つの応答(レスポンス)を返すルールになっていて、同じ条件ならば、ある要求に対する応答は常に同じものになります。
またこれは世界共通のものでどこにいても、どのブラウザから開いてもどの端末から開いても同じものになります。
一番見覚えがあるのは検索する時にも必ずアドレス(URL)の一番最初に含まれていますよね。
あれにhttpから始まるものとhttpsから始まるものの二種類があると覚えていただけたら大丈夫です。
https(SSL化)について
それに対してhttpsとはSSL/TLSプロトコルを利用した、暗号化通信が行われているものになります。
こちら難しく考える必要はなくてhttpにSecure(セキュア)の「S」を追加したもので、Web情報をやりとりする時にセキュア(=暗号化)な状態で通信している事になります。
暗号化通信を行う事で第三者によって傍受・改ざんされる危険性を防ぎ、より安全に使えるものとなります。
つまりhttpを暗号化し、セキュリティを高めたものがhttpsになります。
また数年前までは、Webサイトの一部分で(ログインページやクレジットカード決済ページ等)Webサイでパスワードや個人情報等を入力するページのみをhttps化して通信を保護することが一般的でした。
しかしインターネットにおけるセキュリティ意識の高まりやGoogleの対応を受け、Webサイト全体をhttps化する常時https化を行う事が当たり前となってきています。
またSSLとTLSは同じ機能を指しますがSSLの方が認知されています。
次にhttpsの仕組みについて解説します。
httpsの仕組み
先ほど解説したhttpsの仕組みについて書いていきます。
まず仕組みとしては「共通鍵暗号方式」と「公開鍵暗号方式」の両方を用いたハイブリット方式で、インターネット上のデータ通信を暗号化することで第三者から盗聴を防ぎます。
この二つの鍵が含まれたSSLサーバ証明書を用いて暗号通信が行い、これをSSL化と呼びます。
次に二つの暗号方式をまとめて解説していきます。
①共通鍵暗号方式
「共通鍵暗号方式」に関しては以下の方式になります。
- 暗号化する際の鍵と復号化する際の鍵が両方とも同じもの(共通鍵)を利用する暗号化方式
- 暗号化・復号化ともに利用するため共通鍵は公開されずデータの送信側と受信側のみで共有
- 暗号化・復号化ともに同じ鍵を利用するので「公開鍵暗号方式」と比べて処理速度が早い
またデメリットとしては通信相手毎に共通鍵が必要でその作成や管理が多くになる事。そして共通鍵の安全な配布が難しく公開鍵暗号方式の方が優れています。
②公開鍵暗号方式
「公開鍵暗号方式」に関しては以下の方式になります。
- 暗号化・復号化する際の鍵に、公開鍵と秘密鍵の異なる鍵を利用する暗号化方式
- データの送信側は受信側の公開鍵を利用して暗号化
- 暗号化されたデータは受信側の秘密鍵でしか復号化できないため安全にデータの送受信が可能
- 公開鍵は誰でも取得が可能だが秘密鍵とのキーペアでしか利用ができないので鍵の管理は「共通鍵暗号化方式」と比べて容易に行える
またデメリットとしては公開鍵と秘密鍵で暗号化と復号化を行うと非常に多くの時間を要します。そのため処理速度においては共通鍵暗号方式の方が優れています。
httpsはこの二つの仕組みの「共通鍵暗号化方式」の処理速度と、「公開鍵暗号方式」の鍵管理の容易さを兼ね備えたSSLサーバ証明書を用いて暗号化通信で行われています。
次にSSLサーバ証明書について解説していきます。
③SSLサーバ証明書とは
SSLサーバ証明書とは先ほど解説した暗号方式の鍵も含む暗号化を行うための電子証明書となります。
こちらSSL・電子証明書等のWebサイトセキュリティサービスを扱う「GMOグローバルサイン」の公式ページでは以下の通りに書いてありました。
SSLサーバ証明書は、ウェブサイトの「運営者の実在性を確認」し、ブラウザとウェブサーバ間で「通信データの暗号化」を行うための電子証明書で、GMOグローバルサインなどの認証局から発行されます。 SSLサーバ証明書には、ウェブサイトの所有者の情報や、暗号化通信に必要な鍵、発行者の署名データが含まれています。SSLサーバ証明書が導入されたウェブサイトは、URLがHTTPSから始まり、先頭には鍵マークが表示されるようになります。
https://jp.globalsign.com/より
認証局(CA)とは、ウェブサイトやその他の独立した存在などに、デジタル証明書を発行する信頼できる組織の事です。
CAはウェブサイトのドメインや証明書の種類によってはウェブサイトの所有権を認証し、Chrome、Safari、Firefoxなどのウェブブラウザが信頼するTLS/SSLサーバ証明書を発行します。
こちらで説明があるようにSSL化を導入するためには必ず必要なものになります。
SSL化しているサイトは必ずURLがhttpsから始まり、先頭には鍵マークが表示されるようになっているので一瞬で見分けられます。
SSL(常時https)化が必要な理由
ここまでhttpsの仕組みについてお話しました。
ここまで長々と書いていますが簡単に言ってしまうと運営するWebサイトのセキュリティを上げるというままです。ただhttpのままでは自分の知らない所で第三者に悪用される可能性が高く、危険なものになります。
そして何故SSL化が必要なのか理由として
1.常時https化にセキュリティ・アクセス解析の精度向上(セキュリティ面)
2.大手サイトや政府系サイトの対応(企業や国関連)
3.httpのWebサイトを表示する際アドレスバーに警告が表示される(ブラウザを使った時の表示)
大きく分けるとこの三つになります。
順に解説していきます。
1.常時https化にセキュリティ・アクセス解析の精度向上
SSL化が一番の理由はSSL化に伴うセキュリティ面の向上です。
これに関しては一番の理由となります。
Webサイトを常時https化することにより、Webサイトのセキュリティ向上(第三者のなりすましや盗聴の防止)やアクセス解析の精度向上(解析ツールへのリファラ(参照元)情報の引き渡しなど)などの効果が高く見込めます。
分かりやすい部分でいえば、https化されたWebサイトではブラウザーのアドレスバーに鍵(南京錠)マークを表示されるため、Webサイト訪問者に見た目で安心感を与えることができるというメリットもあります。
またサーバー証明書発行による認証も信頼の証となります。
目で見える形での信頼できる物は効果はとても高く、サイトの信頼度も上がります。
2.大手サイトや政府系サイトの対応
二番目の理由としては多くの企業・国関連サイトがhttps化している事です。
GoogleやYahoo!JAPANといった検索ポータルサイト、TwitterやFacebook、InstagramといったSNSもユーザー保護の観点から常時SSL化されています。
そしてブラウザ関連が一番SSL化が進んでおり特にGoogleは力を入れています。そのうちhttp~から始まるWebサイトは開けなくなると言われています。
また日本の政府機関においても、2018年には「政府機関等の情報セキュリティ対策のための統一基準群」が改訂され、「インターネットを介して転送される情報の盗聴及び改ざんの防止のため、全ての情報に対する暗号化及び電子証明書による認証の対策を講じること」と、情報政府機関の全Webサイトの常時SSL化が義務付けられています。
他にも企業が運営しているWebサイトがSSL化しており多くの割合を占めています。
個人情報を扱うのでしたらより一層気を付けなければなりません。
またGoogleアドセンス合格を考えている方は特に意識するべきです。
3.httpのままだと表示する際アドレスバーに警告が表示される
三番目の理由としては、安全ではないとブラウザから警告が表示されるからです。
主要なWebブラウザーでは、「http」のWebサイトを表示する際、アドレスバーに警告が表示されることがあります。
「http」のWebサイトにアクセスした際、アドレスバーにGoogle Chrome 68以降では「保護されていない通信」、Safari 12.1以降では「安全ではありません」と表示されます。
いくら力を入れてブログやWebサイトを見てもらっても毎回ホームページを開こうとするたびに警告が表示されたら、このサイト本当に大丈夫かなと不安になりますよね。普通に二度と開かないなどざらにあると思います。
そうなったら本当に勿体ないのでWebサイト全体をhttps化する常時SSL化を意識していきましょう。
- SSL化に伴うセキュリティ面の向上
- Googleなど多くの企業・国が行っている
- httpのままだと表示する際アドレスバーに警告が表示される
SSL(常時htpps)化の導入手順
ここまで仕組みについて書いてきました。
ここからはSSL(常時https)化のやり方について解説していきます。
途中で説明したようにWebサイトでhttpsを利用する場合、途中で説明した「SSLサーバ証明書」をサーバにインストールする必要があります。
ここから簡単に解説していくのでそのままやっていただけたら導入できます。
今回はJPRSのWebサイトでの作成方法でお伝えします。
※後日、追記でエックスサーバーとWordPressでのやり方も付け加えておきます。
手順としては
1.CSRの作成サーバ証明書発行に必要なCSR(Certificate Signing Request)を使用するWebサーバで作成します(作るのはどのサーバでも良いが、これがないとSSLサーバ証明書が発行できません)
2.サーバ証明書の申込取扱指定事業者にサーバ証明書購入を申し込みます。
3.審査・認証ドメイン名の登録情報や電話などによる認証をします。
4.サーバー証明書の導入Webサーバにサーバ証明書を設定を行います。
で完了となります。
作成方法は株式会社日本レジストリサービス(JPRS)Webサイトに掲載されていてこちらを参照してください。
またSSLサーバー証明書は、認証レベルにより「ドメイン認証」「企業認証」「EV認証」の3つに分けられます。
①ドメイン認証:ドメイン名の所有権のみを確認できます。
②企業認証:ドメインの所有権に加え、申請した組織の実在性を確認します
③EV認証:登記簿謄本や第三者機関のデータベース等により法的・物理的に組織の実在性を確認することで、高い信頼性を実現します。
なお、3つの認証方式で証明書自体の機能(暗号強度など)には差がなく、証明書の発行申請者をどのように審査するかによって種類が異なります。
どれを使ってもSSL化はできます。ただどのやり方でもCSR(Certificate Signing Request)は必須となるので是非参考にして見て下さい。
一度設定さえしてしまえばもうアナタのサイトのセキュリティは安全になります。
まとめ
以上、SSL(常時https)化のやり方でした。
ここまでいかがだったでしょうか。
導入の仕方は基本的に変わりませんが、サーバやサービスによってはSSLを含めたWebセキュリティ対策もありますのでそちらも是非調べて見てください。
また、私達はエックスサーバーを使ってブログを運営しているので後日追記でエックスサーバーでのやり方も載せておきます。
また総務省が解説している情報セキュリティサイトのURLも載せておきます。
https://www.soumu.go.jp/main_sosiki/cybersecurity/kokumin/index.html
そして、途中でも書いていますがGoogle自体がSSL化を推奨しており、Googleアドセンス合格を目指す方はやっておくべき事になります。
またSSL化していないとインターネット上のデータ通信は、第三者によって傍受・改ざんされる危険性があります。
急ぐ必要はなくてもブログに限らずWebサイトを運営するならゆっくりで良いので導入するようにしましょう。
見覚えのないURLからのフィッシング詐欺やなりすましが身近になって来たこの時代、自身のサイトを守るようにセキュリティ意識していきましょうね。
そして今回の記事に対しての感想や気になった所、聞きたい事など何でもお待ちしています!!
これからもブログを通じて「好きなもの・興味があるもの」を発信していきたいと思います。
最後まで読んでいただきありがとうございました。
コメント