CEOブログ

横浜で活躍するホームページ作成・開発会社アットライズの代表取締役社長(CEO)が綴る、日々の奮闘記!!

業界・技術情報

SSL証明書って本当に必要?

投稿日:2016年6月3日 更新日:

SSLは データを暗号化し盗み見などを防ぐ技術

Webサイトの申込みフォーム等で広く普及している「SSL」。
URLが通常の「http://」ではなく「https://」になり、ブラウザのURL欄に鍵マークが表示されるので 多くの方はご存じでしょう。
SSLは簡単に言うと、インターネット上の通信を暗号化し通信経路上で第三者に盗み見され個人情報やカード情報などが漏洩するのを防ぐ技術です。
※SSLの解説については SSLのまとめ にわかりやすく解説があります。

今回、弊社のお客様で導入しているSSL証明書の有効期限更新にあたり、「SSLとはどんなものか?」簡単にご説明したので、それをまとめてブログに掲載しておきます。
技術的に難しいところもありますが、参考にしてみてください。

※尚、初心者にもわかりやすく説明するため簡略化しています。細かい部分で厳密にはニュアンスの異なる部分もあるかも知れませんがご了承ください。

実は証明書なんかなくても暗号化はできる

SSL化するには、通常 認証局が発行するSSL証明書により「このサイトは確かにSSL化されてますよ」と証明してもらうことが一般的ですが、実は証明書がなくても「暗号化」はできます。
ただし有効なSSL証明書がないので、ブラウザが「証明書がないけど大丈夫?」と アラート(警告)を上げてきます。なので、一般的なサイトでは 基本的にはきちんと有効なSSL証明書を設定しています。(保守メンテナンスのためにサイト管理者のみが使うページなどでは、ID、パスワードを送信したりしますが証明書なしでSSL化していることもあります。)

SSL証明書には認証レベルにより いくつかの種類がある

SSL証明書には、どこまでを証明するか、によって いくつかの種類(*1)があります。
(*1) 「ドメイン認証型SSLサーバ証明書」「企業認証型SSLサーバ証明書」「EV SSL証明書」の3種類。
  詳しくは シマンテックのサイト「SSLサーバ証明書の種類と比較」をご覧ください。

今回弊社のクライアント様から、「どの種類の証明書にすれば良いか?」との質問がありましたが、答えとしては「何のためにSSLを導入するのか」という根本目的によります。

多くの場合は、個人情報などの盗み見を防止することが主目的となりますので、最も安価でもある「ドメイン認証型」で十分でしょう。

SSL化する・しない は、ハガキで送るか封書にするか の違い

SSL(ドメイン認証)をかけるとネットの通信経路上を暗号化して流れていきます。

わかりやすい例えで言うと、何も暗号化していない状態は「ハガキ」を送っているようなもの。SSLの暗号化は「封書」で送るようなもの。
配達途中で誰かが見た場合に、ハガキのように中身が読めてしまうのか、封書のように読めないのか、の違いだと思っていただいて良いでしょう。

「ハガキ」状態で送るとキケンか?

カード情報やID/パスワードなどを含む場合(そのデータ単独で悪意を持って利用できてしまう場合)は、当然暗号化すべきですが、そうでない場合、例えば名前、住所、電話番号などの個人情報をフォームから入力する場合について考えます。
※以下、あくまでも個人的見解で、かなり極論です。SSLの導入可否は個別の状況を踏まえて判断してください。

カード情報でも入力しない限り、見も知らぬ人の個人情報(名前や電話番号など)がわかったところで、情報的になんの価値も利用用途もありません。(情報漏洩して価値のあるものは、ある程度まとまった人数の個人情報や、特定の属性(例えば「○○を購入した人」とか)の名簿があって初めて情報としての価値が出ます。

なので、SSLで暗号化してもしなくても別にどちらでも構わない、というのがネットに精通した私の見解です。(あくまでも個人的意見です。。(^^;)
なので、私はフォームで入力するときにSSL対応でなくても何ら気にしません。

ほとんどのサイトはメール受信時には暗号化してない!

もっと言ってしまえば、ほとんどの場合、サイトからフォームで送信する際(ユーザーのPC → メールサーバーまで)はSSL暗号化してても、担当者がメールボックスからメールを受信する際(メールサーバー → 担当者のPC)は、暗号化せず(ハガキの状態で)に受信しているケースがほとんどだと思います。
(私はメールの送受信もSSL暗号化するようにPCを設定していますが、おそらく99%以上の人は、そんな設定にしていないと思います。)
また、メールがサーバー上のメールボックスに届いている状態も、基本的には平文(暗号化されていない状態)で格納されています。(なので、ハッキングとかされると読まれる可能性あり)
auto0086-s

何のためにSSL認証するのか?

では、何のためにSSL認証するか、というと、「SSL対応していないサイトはキケンだ、けしからん!」という(中途半端な知識を持った)ユーザーがいるからです。(クレジットカード情報等を扱う場合を除く)

技術的なセキュリティというよりも、サイトを利用するユーザーの心理的不安をなくすことが目的、と言った方が良いでしょうか。
実際「けしからん」というユーザーも、メールを受信するときに暗号化してるかどうかまでは たぶん考えもしていないでしょう。

なので、どのようなレベルでSSL認証するのか、サイトへの訪問者(ユーザー)の動向なども合わせて検討していただければと思います。
 
 

-業界・技術情報


comment

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

関連記事

メール送受信時、暗号化してますか?

暗号化技術SSLへの対応 ホームページ(Webサイト)から、問い合わせフォームや注文等をするとき、通信内容を暗号化するSSL(Secure Sockets Layer)という技術があることはご存知の方 …

自社サイト[attrise.com]を常時SSL化しました!

Google「Chrome 68」登場間近、、滑り込みセーフ Googleは、ブラウザ「Chrome 68」から、HTTPS暗号化によるSSL化(https://)されていないサイト(従来の http …

no image

架空請求が。。。

ケータイ(auのCメール)に、架空請求のメールが。。   「サイト未納料金があります。本日18時迄に連絡なき場合、法的手続きを取らせて頂きます。 0120-***-521」だと。。。     あわてて …

恐るべし!GENOウイルス

お客様から、「GENOウイルス」に感染したPCからFTP情報が漏洩し、お客様のサイトが改ざんされたのでFTPのパスワードを大至急変更してほしい、との連絡があった。 このGENOウイルス、一般的なウィル …

新ドメイン、続々登場!

「.com」や「.co.jp」などのトップレベルドメインに、新ドメインが次々誕生している。 例えば、 .club :クラブ (会員制サービスやナイトクラブなど) .coffee :コーヒー (メーカー …