スペック解説 SSL暗号化
サーバーとの通信をSSLという方法で暗号化すると、サイトのなりすましや盗聴を防ぐことができます。また現在はセキュリティ面だけでなく、表示速度などの面から検索エンジン対策にもメリットがあると言われています。
サイト暗号化の仕組み
サイトを暗号化する、などと言いますが、実際はサイトそのものが暗号化されている訳ではなく、ブラウザとサーバー間の通信が暗号化されます。およそ下記のような流れで通信されます。
- サイトを閲覧するためにURLを入力してアクセス
- サーバーから暗号化のための証明書が届く
- 証明書に含まれた鍵から特別な合鍵を作ってサーバーに送る
- お互いにその合鍵を使って暗号化したデータをやりとり(通信)する
サイトを暗号化にはまず、上の2で使用する「証明書」が必要です。以前はその証明書が思いのほか高額でした。現在は非営利団体ISRGによる「Let’s Encrypt」というサービスが証明書を発行し、無料で導入できるようになっています。
有料・無料の証明書
有料の証明書にはいくつかのレベルがあり、コストがかかることを含め、いろいろな面から安全性が高められます。会社の実在証明や所在地の認証などが行われます。
一方、無料の証明書はサーバーとの通信を暗号化することに特化しています。サイトの暗号化だけが目的であれば、無料の証明書で十分です。セキュリティレベルという点でも有料との大きな違いはありません。安心して導入して下さい。
今まで個人や小規模なサイトではコストがかけられないから暗号化なんてできなかったんだよね。
それが今は無料なんだ。最近はどのサイトも暗号化されているよね。
それがLet’s Encryptを作られた理由だと思うけど、コストをなくしてインターネット全体が安全になっていく流れはすごく良かったと思う。
常時SSLが広まった理由
主に下記のような点が理由です。
- 無料の証明書が使えるようになった
- セキュリティ意識が高くなった
- サイト(ページ)を暗号化することでSEO上の評価が高くなる
- 暗号化を前提にした高速な通信ルールができた
- ほとんどのレンタルサーバで利用できるようになった
- SSLに対応していないサイトはブラウザ上で「保護されていない通信」「安全ではありません」などと警告を受けるようになった
やっぱり無料で導入できるようになったことが大きいと思うけど、SEO目的だったり、ブラウザの警告を嫌がるケースも多そうだね。ともかく今は暗号化は必須だと思うよ。
SSL暗号化のかつての常識
- 共有SSL
レンタルサーバでは共有SSLというものもあります。これはレンタルサーバ会社が持っているドメインを利用したもので、有料のSSLしかなかった頃に代替手段として使用されていました。暗号化自体はされていてもURLを見るとあまり信頼できるものではなかったと思います。現在、エックスサーバーではこの機能を終了しています。 - サイトの一部ページだけを暗号化
以前は暗号化による速度低下などもあったため、入力フォームがある「問い合わせ」や「カート」のページだけを暗号化していました。この形がむしろ一般的でした。
いずれも今は利用する価値がありません。「Let’s Encrypt」を使って無料で独自ドメイン でSSL化することができます。また速度低下を回避する仕組みもでき、サーバのスペック自体も良くなっていることから、サイト全体を常に暗号化できるようになりました。
暗号化することで高速に
サイトを表示する通信の基本的なルールとして「HTTP/2、3」と呼ばれるものがあります。バージョンが上がるごとに高速な通信ができるようになります。
以前は暗号化による速度低下がありましたが、HTTP/2、3はSSL暗号化が前提となっているため、高速化するために暗号化が必須になっています。暗号化と合わせてHTTP/2、3についても確認しておきましょう。
SSL暗号化のまとめ
- Let’s Encryptにより無料になった
- セキュリティだけでなくSEOにも有効
- 以前の暗号化に関する常識はなくそう
- サイトの暗号化は必須!