株式会社まめぞうデザイン

タナカアキノリ

タナカアキノリ

WEB界の亀甲縛りこと
SSLについてちゃんと調べてみた

2017.04.01

2Ch / AWS / SSL

先日の週末に某 2ch まとめサイトをいつものようにカッコよく眺めていたところ

衝撃的な内容が飛び込んできた。

Googleが「VeriSign」「GeoTrust」「RapidSSL」を使っているサイトを問答無用で非表示にすると発表

「いやいや、1/3近いサイト死にますやん!戦争ですやんw」

3秒ぐらい焦ったあと、我に帰りました。。。

「あ、うちの会社は使ってないわ。全部AWSやわw」

完全に他人事になったので、なんか面白い方向に転ばないかなーと

人間の器の小ささが垣間見える思考のもと週末を過ごしました!

結果。。。

・シマンテックが新たに発行する SSL 証明書の有効期限を (最終的には) 9か月以内 に短縮する

・Google Chrome のリリースサイクルの中でシマンテックがすでに発行したすべての SSL 証明書を再検証し、新たな証明書への置き換えを進めていく

・シマンテックが発行した EV SSL 証明書の EV ステータスを、シマンテックに対する信頼が回復するまでの間(1年程度?)、無効にする。

まだ確定でないけど、こんな感じの対応をする提案段階みたい。

そんで今回のことで思ったのはSSLについてちゃんと調べたことないなーっと。。。

安ければRapidSSL、予算があればVeriSignでいいやんぐらい認識やったので

良いきっかけなのでちゃんと調べてみましたー!

 

そもそもSSLとは?

インターネット上でやりとりされる情報を暗号化し第三者によるデータの盗聴・改ざんを防止する技術のこと。
万が一、情報が盗聴・傍受されても、暗号化されているため中身を解読されるリスクが激減します。
インターネットに潜む「盗聴」「なりすまし」「改ざん」「否認」、これらの危険性を回避するために有効なのがSSLサーバ証明書です。

とのこと、要はセキュリティの強化ですな!!

SSLのメリット

セキュリティの強化等だけで十分にする理由にはなりますが、他にも沢山のメリットがありまーす!

  • 信頼性の向上

第三者機関のSSL認証局がサイト運営企業の実態まで調査してからSSLサーバ証明書を発行します。そのため、SSL化されているサイトはユーザが安心して利用することができ、サイト・企業の信頼性の向上につなげることができる。2017年には非SSLのページを表示するときに「このサイトは危険ですよ」と表示されるようになる予定です。

  • アクセス解析の向上

Google Analytics等でサイトのアクセスデータの解析を行う場合、どこのサイトから自分のサイトへ訪問されたかを知る「リファラー」データは非常に重要です。しかし、ユーザーがhttpsサイトからhttpサイトに移動する場合は、このリファラーが渡されず、参照元無しとなるノーリファラー(no referrer)としてカウントされます。
リファラーを渡す元サイトが「meta name=”referrer”」を使うことによって、https → httpへリファラーを渡すことも可能ですが、受け取る側で制御することはできません。自分のサイトをhttpsにすることで、http、https両方のサイトからリファラーを受け取れるようになります。

  • SEOの有利

Googleは2014年8月にhttpsを検索結果のランキングシグナルに使用することを公式に発表しました。要は「httpのサイトよりhttpsのサイトの方が検索順位を優遇しますよ」というもの。ただ、コンテンツの中身の重要性に比べればそこまで影響は大きくないみたいです。

SSLの種類

SSL証明書は年間で数千円〜数十万円と価格の幅がすごい広いです!

発行企業によるところもありますが、大きく3つのタイプで価格が違ってきます!

  • ドメイン認証型(DV)

ドメインの管理権限を元に発行されるSSL証明書。
組織情報の確認や、認証局からの電話を受けること無くSSL証明書の発行が可能です。
発行されたSSL証明書の属性には、組織情報が記載されない。

  • 実在証明型(OV)

組織情報の審査を経てから発行されるSSL証明書。
組織情報の確認や、認証局からのお電話を受けてからSSL証明書が発行されるため、サイト運営者のなりすまし防止を証明することができます。
発行されたSSL証明書の属性には、組織情報が記載されます。

  • EVタイプ(EV) 

実在証明型(OV)よりも厳格な審査を経てから発行されます。
ブラウザのアドレス欄がグリーンになり、金融機関などでも多く採用されています。

まとめ

SSL化は絶対にやった方がよいっていうのが再認識できた感じです!

中でも天下のGoogle様が非SSLサイトにアクセスする際に「このサイトは危険ですよ」表示をように対応するのはSSL化する理由として1番大きいかなっと!

危険と言われて誰がアクセスするねんwww

RELATED