基本ノウハウ
「SSL化は必ずしなくてはいけないの?」「有料SSLと無料SSLはどう違う?」という疑問をお持ちの方に、SSL化のメリットやかかる費用、SSL化しないとどうなるのかなどを分かりやすく解説します。SSLの確認方法や無料SSLと有料SSLについてもご紹介。自社のWebサイトのSSL化を検討している方や、できる限りコストを抑えてSSLを導入したい方はぜひご覧ください。
SSL化とは、WebサイトをSSL(Secure Sockets Layer)という暗号化通信にすることです。SSLを導入しているWebサイトは、URL部分が“http://~”から、“https://~”というsが追加された表記になり、ブラウザによっては暗号化通信のマークとして南京錠(なんきんじょう)の形の鍵マークが表示されます。
Webサイトを閲覧する場合、Webサイトが保管されているサーバーと、閲覧者の用いているブラウザ(Google ChromeやSafariなど)が通信を行っています。その通信が暗号化されることにより、もし第三者が情報を盗み出そうとしたとしても、内容を解読できません。個人情報の流出や改ざんなどを防ぐ上で、WebサイトのSSL化は重要です。
常時SSL化とは、Webサイトの一部のページだけでなく、そのサイト全体をSSL化することです。
以前は、個人情報などの入力画面がある問い合わせフォームや、決済画面のみに暗号化通信が利用されていました。これは共有SSLと呼ばれ、SSLを導入しているサーバー会社から借りる仕組みです。しかし、近年ではWebサイトの目的が多様化したことに加え、Webサイト上でやり取りされる個人情報やクレジットカード情報、ログイン情報などの情報量が増加。ログインの手間を減らしたり、ページの表示速度を早めたりするために情報を保存しているCookie(クッキー)が第三者に盗み見られる危険性もあることから、現在では特定のページに限らない、常時SSL化が推奨されています。
スタンダードになりつつある常時SSL化に対応するためには、従来の共有SSLではなく、独自SSLを導入する必要があります。独自SSLのためには、ドメイン独自のSSL証明書の取得が必要です。
WebサイトをSSL化するためには、SSL証明書を入手する必要があります。SSL証明書はSSLベンダー(取扱業者)から購入するほか、レンタルサーバーなどで入手する方法もあります。
SSL証明書を入手後、サーバーにインストールすることでWebサイトの通信をSSL化できます。
SSL証明書を導入しているサイトでは、URLの横に鍵マークが表示されます。
この鍵マークを右クリックすると、この接続は保護されていますと表示され、さらにその右にある矢印をクリックすると、次のように表示されます。
この接続は保護されています
お客様がこのサイトに送信した情報(パスワード、クレジットカード番号など)が第三者に見られることはありません。
下部に表示されている、「証明書は有効です」の文言をクリックすると、証明書ビューアーでそのWebサイトのSSL証明書の詳細が表示されます。
BeMARKEのサイトのSSL証明書は、下画像のように表示されます。
このように、閲覧しているWebサイトがSSL化されているのかどうかは簡単に確認でき、SSL証明書に含まれている内容は誰でも確認することが可能です。
WebサイトをSSL化するメリットとデメリットを解説します。
【SSL化のメリット】
【SSL化のデメリット】
GoogleがSSL化を推奨していることもあり、基本的にはSSL化は必須です。SSL化していないサイトではブラウザに“保護されていない通信”などとアラートが表示されるようになったために、SSL化していないWebサイトはユーザーからも敬遠されてしまいます。特に個人情報のやり取りが発生するサイトや、ダウンロードなどのアクションが必要なサイトでは安全面からSSL化は急務です。
SSL化に対応しないという選択肢はありませんが、デメリットとしてどうしても費用がかかります。続く章でSSL化にかかる費用や無料SSLについてご説明します。
SSL化の費用は、無料SSLを利用するのか、有料SSLを購入するのかによって大きく異なります。無料SSLと有料SSLの違い、有料の場合の費用の一例を紹介します。
有料SSLを利用する場合は、SSL証明書を購入する必要があります。高額な費用が必要なものの、高いセキュリティ体制を整えられるため、信頼性を担保したいWebサイトや大規模なWebサイトにおすすめです。
SSL証明書はSSLベンダーやサーバー会社、代理店などからも入手できます。例えば、次のようなSSL証明書が有名です。
有料SSLの中でも、SSL証明書にはDV、OV、EVの3つのレベルがあります。
SSL証明書の認証内容 | 向いているWebサイトの例 | |
---|---|---|
DV(ドメイン認証) | ドメイン認証のみ。 最も安価にSSL化できる。 |
・個人店舗のサイトなど ・期間限定のキャンペーンページ ・個人事業主の制作実績など |
OV(実在証明型) | DVに実在証明が追加される。 会社名も証明書に追加され、サイト運営のなりすましなどを防げる。 |
・企業のコーポレートサイト |
EV(実在証明拡張型) | OVに電話での実在確認、会社の運用状況確認などが加わる。 最高レベルのセキュリティがアピールできる。フィッシング詐欺やコピーサイトなどでは簡単に導入できないため、ユーザーにとってわかりやすい。 |
・個人情報のやり取りや決済が行われるECサイト ・金融機関など高いセキュリティの担保が求められるサイト |
実際に国内シェアNo.1のGlobal Sign by GMO(グローバルサイン)のサイトを見てみると、DV、OV、EVについて次のように説明されています。
参照:Global Sign by GMO「今もっとも選ばれている【GMOグローバルサインのSSLサーバ証明書】」より
上記のようにDV(ドメイン)認証は最も手軽に早く対応できます。一般的なWebサイトであれば、DV認証のみのサイトがほとんどです。DV認証の場合は、サーバーにより無料SSLを利用できる場合もあります。しかし、ドメインのみの認証なので詐欺サイトなどであったとしても証明書の取得ができるため、差別化にはなりません。
OV(実在証明型)、上記の企業認証SSLからは、会社の実在証明が必要になるため、手間はかかりますがサイトの訪問者に安全性をアピールできます。
SSL証明書の3つのレベルによる費用はどこの証明書を取得するのかによって異なりますが、一例としてGlobalSignの場合は以下の料金(年額)が明示されています。
参照:Global Sign by GMO「今もっとも選ばれている【GMOグローバルサインのSSLサーバ証明書】」より
最も手軽なDV認証で38,280円から、最高レベルのEV認証では140,800円と大きな差があります。
有料のSSL証明書を購入すると高額で、毎年維持費も必要になりますが、レンタルサーバーの会社によっては無料SSLを提供しています。
無料SSLを提供しているレンタルサーバーの一例
上記のような無料SSLを提供しているレンタルサーバーを利用している場合は、新規設定を行うだけでSSL化できます。また、サーバー会社によってはオプションでOV(実在証明型)やEV(実在証明拡張型)レベルのSSL認証の取得も可能です。すでに支払っているレンタルサーバーの費用にプラスする分の料金で済むため、SSLベンダーや代理店などからSSL証明書のみを購入する場合と比較して、トータルコストを安く抑えられる可能性があります。
無料SSLと有料SSLの違いは、サポートの有無と、認証レベルの差です。
サーバー会社などが提供している無料SSLの場合、Webサイト上で自動で行われるために、人的なサポートはありません。サーバー会社のサイトやブログでは無料SSLを設定する方法が公開されているので、それらを参考に設定すると良いでしょう。SSL設定にサポートが必要な場合は、有料SSLを検討してみても良いかもしれません。
また、無料SSLはDV(ドメイン認証)のみ対応の場合が多く、より高いセキュリティや信頼性をアピールしたい場合はOV(実在証明型)やEV(実在証明拡張型)を導入する必要があります。顧客情報や決済情報の通信が行われるサイトでは、SSL認証の費用は必要経費と割り切り、有料SSLの導入を検討したほうが良いでしょう。
GoogleではSSL化を推奨しているため、検索結果で順位が下がったり、SSL未対応のサイトでは警告が表示されます。
Googleが公開しているブログで、同じようなサイトの内容でSSLに対応しているサイトと、未対応のサイトがあった場合には、SSL対応のサイトが優先して表示されると公表しています。
また、SSL未対応のサイトで表示される安全ではありませんという表示はユーザーに不安を与えたり、サイトから離脱される原因となり得る点も注意が必要です。
競合サイトでもSSL化が進んでいくため、今後ますますその傾向が強くなることが予想できます。できる限り早くSSL化に対応するべきであるといえます。
SSL化とは何なのか、SSL化のメリットやWebサイトをSSL化する方法、無料SSLと有料SSLの違いや種類ごとの具体的な費用を紹介しました。Webサイトのセキュリティの確保は重要であり、サイト全体の常時SSL化がスタンダードになりつつあります。記事を参考に、自社に合ったSSLを導入しましょう。