SSLとは何ですか? 安全なウェブサイトへのガイド
公開: 2024-06-21Web サイトによっては HTTP で始まるものと HTTPS で始まるものがあることにお気付きかと思います (通常、特に機密性の高い Web サイトまたは支払いページにアクセスしようとしている場合は、南京錠の付いた緑色のテキストで示されます)。
なぜそれが起こるのか、そしてそれは何を意味するのか考えたことはありますか? HTTP のこの余分な「s」は、アクセスしようとしている Web サイトが安全であり、すべてのデータ送信が SSL 暗号化によって暗号化されていることを示します。
この包括的な投稿で、これについてさらに詳しく確認し、すべての質問や疑問に答えてみましょう。
SSLとは何ですか?
SSL または Secure Socket Layer は、暗号化ベースの特別なセキュリティ プロトコルを使用して、サーバーとクライアントの間に暗号化された接続を確立する標準のセキュリティ テクノロジです。 Web サーバーとブラウザーの間、またはメール サーバーと電子メール クライアントの間のいずれか。
この暗号化テクノロジにより、Web サーバーとクライアント間のすべてのデータ送信または通信がプライベートかつ統合された状態に保たれることが保証されます。
1995 年に Netscape によって初めて導入された SSL は、インターネット通信のセキュリティを確保し、プライバシーを保護し、認証とデータの整合性を確保することを目的としていました。
現在、TLS または Transport Layer Security Encryption として知られる SSL の高度なバージョンが使用されています。
SSL および TLS プロトコルとは何ですか? 彼らは同じですか?
SSL と TLS はどちらも標準の暗号化インターネット プロトコルで、コンピュータ ネットワーク上で安全な暗号化された通信を提供するために特別に開発されました。
SSL は、1999 年に Internet Engineering Task Force によって開発された TLS の前身またはより高度なバージョンです。当初は SSL 3.1 と呼ばれていましたが、セキュリティとパフォーマンスに多少の改善と強化が加えられた後、TLS と呼ばれるようになりました。
SSL にはいくつかの欠陥と脆弱性があり、あらゆる Web サイトを危険にさらす可能性があります。 SSL 2.0 および SSL 3.0 バージョンでさえ安全ではないというラベルが付けられ、使用は推奨されなくなりました。
TLS は、SSL のこれらの弱点と脆弱性を解明し、より洗練された強力な暗号化方式を考案しました。 現時点では、TLS 1.2 および 1.3 が最も安全で広く使用されているバージョンであると考えられています。
もちろん、SSL と TLS の違いをより深く理解するのに役立つ簡単な比較表を次に示します。
特徴 | SSL | TLS |
---|---|---|
フルネーム | セキュア・ソケット・レイヤー | トランスポート層セキュリティ |
によって開発された | ネットスケープ | インターネット エンジニアリング タスク フォース (IETF) |
現在のステータス | 廃止されました | アクティブ |
最新バージョン | SSL3.0 | TLS1.3 |
安全 | 脆弱性 (SSL 2.0 および SSL 3.0 は安全ではないと考えられています) | 各バージョンでの継続的な改善により、より安全になりました |
暗号化アルゴリズム | 安全性の低い古いアルゴリズムをサポート | より新しく強力なアルゴリズムをサポート |
ハンドシェイクの効率 | 手順が増えると効率が低下する | 合理化され、より効率的 |
セッションの再開 | 限られた機能 | 高度なメカニズム (セッション チケット、セッション ID) |
記録プロトコル | 効率性と柔軟性が低い | パフォーマンスとセキュリティの向上 |
実際に使用する | めったに使用されず、時代遅れとみなされます | 広く使用されている安全な通信の標準 |
下位互換性 | 古いシステムとの互換性 | 古い SSL バージョンでも動作しますが、安全なアルゴリズムとプロトコルを優先します |
デジタル証明書 | 古い種類の証明書を使用します | 最新の証明書タイプを使用し、OCSP ステープリングなどの追加機能をサポートします。 |
SSL/TLS はどのように機能しますか?
SSL/TLS は、証明書ベースのテクノロジーを使用して、サーバーとクライアントの間に暗号化された接続を確立します。
この証明書には公開キーが含まれており、Web サイトが信頼できることを確認し、データを暗号化するのに役立ちます。 これは、情報が暗号化を使用して他の人が簡単に読み取ることができない特別なコードに変換されることを意味します。 情報を復号化するために秘密に保たれる対応する秘密キーを持っているのはサーバーだけです。
SSL/TLS 暗号化全体がどのように機能するかは次のとおりです。
1. Web サイトの安全な部分、つまり支払いページやログインページにアクセスしようとしたとき。 Web サイトサーバーは、SSL 証明書をブラウザーに送信します。
2. この証明書には、サーバーの識別に役立つ公開キーが含まれています。
3. その後、ブラウザは証明書が有効で本物であるかどうかを確認します。 (この手順は、サーバーが本物であり、偽者ではないかどうかを確認するのに役立ちます)
4. 検証が成功すると、ブラウザは、セッション中に送信されるデータを暗号化するために、対称セッション キーとも呼ばれる小さな一時キーを作成します。
5. これで、ブラウザはこのセッション キーをサーバーの公開キー (証明書から) で暗号化し、サーバーに送信します。 (この手順は、サーバーのみがセッション キーを読み取ることができるようにするために重要です。)
6. その後、サーバーは秘密キーを使用してセッションキーを復号化します。
7. これで、ブラウザとサーバーの両方が対称セッション キーを使用して、ブラウザとサーバーの間で送信されるすべてのデータを暗号化および復号化します。 (これにより、データのプライバシーと安全性が確保されます)。 このプロセスは SSL/TLS ハンドシェイクと呼ばれます。 機密情報を安全でない方法で共有することなく、ブラウザとサーバーの間に安全な暗号化されたチャネルを設定します。
これで、Web 経由でデータを送信する準備が整い、データはすべて暗号化され、傍受しようとする人には読み取れなくなります。 さらに、SSL/TLS はデータの整合性を維持するために、データが改ざんされていないことを確認するためにデータにデジタル署名も行います。
SSL証明書とは何ですか?
SSL は、Web サイトに特別な証明書、つまり SSL 証明書がインストールされている場合にのみ使用できます。 この証明書は、データをプライベートに共有するためにサーバーとブラウザーの間に安全な接続を確立するのに役立つ小さなデータ ファイルです。
これは、本人確認に役立つ重要な情報がすべて含まれている身分証明書と同じものです。
SSL証明書のコンポーネント:
- 公開キー: このキーはデータの暗号化に使用され、SSL 証明書に含まれています。 これは、Web サイトを訪問するすべてのユーザーと公開で共有されます。
- 秘密キー: 暗号化されたデータを公開キーで復号するために使用されます。 これは秘密に保たれ、Web サーバーに安全に保管されます。
- 認証局 (CA) : SSL 証明書を発行する信頼できるソース。 これらの CA には、DigiCert、Let's Encrypt、Comodo などの組織が含まれます。 この機関は、SSL 証明書を発行する前に、証明書要求者の身元を確認する責任を負います。
- SSL 証明書に含まれる詳細:
- 証明書が発行されるドメイン名。
- 証明書の発行先のエンティティ。
- 発行元の CA。
- CA のデジタル署名。
- 証明書の有効期間 (開始日と有効期限)。
- 公開鍵。
- 証明書の種類やその用途などの追加情報。
SSL 証明書が重要な理由:
- セキュリティ: 送信中の機密データを保護し、不正アクセスやデータ侵害を防ぎます。
- 信頼: データが安全であることをユーザーに保証することで、ユーザーとの信頼を築きます。 SSL 証明書を備えた Web サイトは、ブラウザによって安全であるとマークされます。
- SEO の利点: Google などの検索エンジンにより、HTTPS 対応の Web サイトのランキングが向上します。
- コンプライアンス: 多くの業界のデータ保護に関する規制要件を満たしています。
SSL 証明書にはどのような種類がありますか?
SSL は特定のセキュリティ タイプに限定されるわけではありません。 SSL はさまざまな証明書に関連します。 インターネット上にはさまざまな種類の SSL 証明書があります。 これらは:
- 単一ドメインSSL証明書
名前自体から、それがどのような種類の SSL 証明書であるかを簡単に識別できます。 SSL 証明書は単一のドメインのみを保護します。 たとえば、証明書がドメイン「WPOven.com」に対して発行された場合、証明書はそのドメインにのみ適用され、「blog.wpoven.com」などのサブドメインや「example.com」などの他のドメインには適用されません。
- ワイルドカードSSL証明書
単一ドメイン SSL 証明書と同様に、単一ドメインに適用されますが、注意点があります。 これは、同じドメイン名で作成されたすべてのサブドメインに適用されます。
たとえば、SSL 証明書がドメイン「WPOven.com」に対して発行された場合、その証明書は「blog.wpoven.com」や「shop.wpoven.com」などのサブドメインにも適用されます。
- マルチドメインまたはユニファイドコミュニケーションSSL証明書
名前自体は、同じ単一の SSL 証明書を複数の異なるドメインまたは同じドメインに発行できることを示しています。
これらの証明書は、Microsoft Exchange や Office Communications 環境を使用している組織など、複数のドメインとサブドメインを管理する組織に特に役立ちます。
これらは非常にコスト効率が高く、セキュリティが強化され、さらに多くの利点が得られます。 1 つの証明書で最大 100 のドメインをカバーできます。
- 拡張検証 (EV) SSL 証明書:
現在発見されている最初のタイプの SSL 証明書は、拡張検証 SSL 証明書です。 このタイプの証明書では、認証局は、申請者が特定のドメインを使用する権利を確認します。 拡張検証 SSL 証明書は、組織の包括的かつ徹底した検査を実施します。
EV SSL 証明書の発行プロセスは、EV のガイドラインで非常に厳密に定義されています。 このガイドラインでは、証明書が発行される前に CA のすべての要件を満たします。
これらのガイドラインは次のとおりです。
- エンティティの物理的、法的、運用上の存在を確認する
- エンティティが EV SSL 証明書の発行を徹底的に組織していることの検証
- エンティティの身元が公式記録と一致することを確認する
- エンティティが EV SSL 証明書で指定されたドメインに対する権限を持っていることを確認する
EV SSL 証明書は、ほぼすべての業種で利用できます。 政府機関から法人企業まで、誰でも証明書を使用できます。
- 組織検証 (OV) SSL 証明書
広く使用されている 2 番目のタイプの証明書は、OV SSL 証明書です。 この証明書では、CA が特定のドメインを使用する申請者の権利をチェックします。
さらに、企業に対する一定の審査も実施します。 安全なサイト シールを使用すると、その他の精査された企業情報も顧客に提供されます。
OV 証明書により、サイトに関係するユーザーの背後にある可視性が強化されます。
- ドメイン検証 (DV) SSL 証明書
一方、証明書について話している場合、ドメイン検証 SSL 証明書は忘れられない名前です。 ドメイン検証証明書では、CA が指定されたドメイン名を使用する申請者の権利をチェックします。
ただし、企業のアイデンティティや情報に関する限り、情報の量は表示されません。 提供される情報は、安全なサイト シールに保存される暗号化された情報のみです。
上記の 3 つは、現在発見され使用されている最も一般的な SSL 証明書のタイプです。 ただし、トップに浮上している別の名前は Let's Encrypt です。
SSL証明書はどうやって取得できますか?
まず最初に、オンライン ビジネスや Web サイトに最適な SSL 証明書のタイプを決定する必要があります。
保護するには標準の SSL 証明書で十分ですが、Web サイトが金融や保険などの規制対象業界で運営されている場合は、カスタム SSL 証明書が必要になる場合があります。 最適なオプションを決定するには、IT チームに相談することをお勧めします。
SSL 証明書のコストは、プロバイダーと Web サイトの要件によって異なる場合があります。 ただし、無料のオプションも多数あります。
WPOvenなど、一部の Web ホスティング会社はプランで無料の SSL を提供しています。 Cloudflareでも、ワンクリックで無料のSSL/TLSを提供します。
さらに、Let's Encrypt は SSL 証明書も無料で提供します。 ただし、IT チームがセットアップして構成するか、技術的な専門知識の助けを求める方がよいでしょう。
無料の SSL 証明書、Let's Encrypt: Let's Encrypt 証明書とは
Let's Encrypt は、2016 年 4 月に設立された認証局です。この証明書は、検証、署名、手動作成といった既存の複雑なプロセスを排除するように設計された自動プロセスを通じて、TLS (トランスポート層セキュリティ) 暗号化用の無料の X.509 証明書を提供します。 、セキュリティ Web サイトの証明書のインストール、および更新。
Let's Encrypt に関与する当事者、または Let's Encrypt は公益団体である ISRG (Internet Security Research Group) によって提供されるサービスです。
この証明書の主なスポンサーには、Electronic Frontier Foundation、Mozilla Foundation、Cisco Systems、および Akamai が含まれます。
2015 年 6 月に遡ると、Let's Encrypt は、オフラインに保たれていた特定のハードウェア セキュリティ モジュールに保存された秘密キーを使用して RSA ルート証明書を生成することに成功しました。 ルート証明書は、IdenTrust によって相互署名された 2 つの異なる中間証明書に署名するために使用されます。
これらの中間証明書の 1 つは、指定され発行された証明書に署名するために使用されますが、もう 1 つは、最初の中間証明書に問題が発生した場合に備えてバックアップとして使用するためにオフラインに保たれます。
Web サイトの SSL を確認するにはどうすればよいですか?
SSL セキュリティが有効になっている Web サイトにアクセスすると、ブラウザ内にいくつかの視覚的なインジケーターが表示されます。
1. URL は「://http」ではなく「://HTTPS」で始まります。
2. ブラウザのアドレス バーに URL とともに南京錠のアイコンが表示されます。
Web サイトの URL の左端に南京錠のアイコンが表示されます。
3. 証明書が有効であることが示されました。
Web サイトに「://HTTPS」または南京錠のアイコンが表示されていても、SSL 証明書がまだ無効であるか期限切れである可能性があります。
ブラウザはあなたに通知し、またあなた側からいくつかの情報を要求します。 この場合は、以下に示すように、Chrome ブラウザで [サイト情報の表示] アイコンをクリックするだけで、さらに調査を行い、Web サイトの SSL 有効性を確認する必要があります。
4. シンプルな WPOven の無料 SSL チェッカー ツールを利用することもできます。
まとめ
SSL/TLS はインターネット通信における基本的なセキュリティ層を提供します。つまり、少なくとも基本的な Web サイトではこのセキュリティ機能を有効にする必要があります。 非常にシンプルに聞こえますが、データの盗難やプライバシーの侵害を防ぐ最も強力なセキュリティ システムの 1 つです。
派手な、または高価な SSL 機能を選択する必要はありません。 標準的なものでも機能します。 無料で利用できる SSL 証明書プロバイダーが多数あり、必要なのはそれらを時々更新することだけです。
ただし、サードパーティから入手することには欠点があります。 WPOven が提供しているように、ホスティング プランで無料の SSL を提供する Web ホストを選択するだけで、これを簡単に回避できます。
SSL に関するご質問やご提案がございましたら、以下のコメント欄にご記入ください。
Rahul Kumar は Web 愛好家であり、WordPress と Web ホスティングを専門とするコンテンツ ストラテジストです。 長年の経験と業界のトレンドを常に最新の状態に保つことに注力し、トラフィックを促進し、エンゲージメントを高め、コンバージョンを増やす効果的なオンライン戦略を作成しています。 ラーフル氏は、細部へのこだわりと魅力的なコンテンツを作成する能力により、オンラインでの存在感を向上させようとしているあらゆるブランドにとって貴重な人材となっています。