常時SSLのススメ

ウェブサイト全体をHTTPS化し、ユーザーセッションを開始から終了までSSL/TLS暗号化により保護する常時SSLについて、導入が求められる背景と、導入により期待される効果をご紹介します。

常時SSLとは、ID・パスワードを入力するログインページや、個人情報を送受信するといった重要なページはもとより、ウェブサイトの全ページをHTTPS化するセキュリティ手法です。ユーザーセッションを開始から終了までHTTPS化し、ウェブサイトとユーザーが共有する情報をすべて暗号化することで、ウェブサイトの信頼性と通信の安全性を高めることができます。

これまでのSSL利用法

常時SSLのウェブサイト

通信の傍受によるセキュリティリスク対策

スマートフォンやタブレット端末などスマートデバイスの急速な普及に伴い、モバイル端末の通信環境は大きく変化しつつあります。
空港やカフェなど公共の場所にあるWi-Fiネットワークは誰でもアクセスできる環境であり、セキュリティのレベルが低いため、これらを介した通信は簡単に第三者によって傍受される危険があります。
2013年には米国国家安全保障局(NSA)の諜報活動に関する暴露事件も話題となり、インターネット通信の傍受に関する危険性を広く知らしめることになりました。
このような背景を踏まえ、通信に対する高いセキュリティを確保するために、SSL/TLSによる暗号化を徹底することで、情報漏えいなどのリスクを低減することができます。

大手ブラウザベンダーによるHTTPS接続を標準化する動き

GoogleやMozillaなどのブラウザベンダーでは、通信の暗号化を強く推し進めています。Google社は検索サイトのHTTPS化を2012年にデフォルトとし、2014年にはHTTPS化されたウェブサイトの検索表示順位を優遇する措置を始めています。Mozillaも、2015年5月にRFCとして公開された新プロトコルHTTP/2による速度向上のメリットを、SSL/TLS通信のみに実装し、企業等に対して常時SSL化への積極的な動機づけを行っています。
かつては、HTTPSの処理には時間がかかるとして、ウェブサイトのHTTPS化によるパフォーマンス低下を懸念する声もありましたが、現在ではサーバやクライアント端末の性能が大幅に向上したうえに、HTTP/2の導入による処理速度向上も後押しとなって、パフォーマンス低下の問題は払拭されています。

SSL/TLS暗号化によるウェブサイト利用者の安全確保

通信の傍受に対するエンドユーザ側での対策には限界があることから、ウェブサイト運営者によるサーバ側での対応が必要です。常時SSL化を行うことで、ログイン情報や決済情報をはじめ、ユーザのCookie情報の盗聴もSSL/TLS暗号化により防ぐことが可能で、ユーザに対する中間者攻撃やなりすましを防止することが可能です。

SEO効果への期待

Googleは、HTTPS化されたサイトの検索ランキングを優遇する措置を開始しており、将来的にはあらゆるページでSSL/TLSを実装することが、GoogleでのSEO対策に有利に影響すると想定されています。

ウェブ開発・運用の効率化

HTTPとHTTPSが混在するサイトでは、それぞれの通信に合わせた複雑な導線管理に配慮する必要があったため、ウェブ開発者にとっては手間のかかる作業でした。ウェブサイトの常時SSL化により作業が短縮できるため、開発から運用までの効率化が図ることが可能です。

公衆無線LANの増加による安全性の低下

スマートフォンが普及し、どこでもインターネットを利用できるようになりましたが、通信量の増加により駅やファーストフード店等に設置されている公衆無線LANを利用する人が増えています。便利な反面、安全性の低い設定になっており、他人に盗聴される可能性が指摘されています。 ログインして使用するサービスの場合、既存のアクセスポイントになりすまして設置された「なりすましアクセスポイント」を使用すると、ログイン状況を管理するために使われるCookieが盗まれ、第三者が不正にログインできてしまう被害が発生します。サーバとの通信内容を暗号化しておくことで、乗っ取りを防止できます。

なりすましAP

最先端のサービスや政府機関まで、導入が進む常時SSL化

SNSなど個人情報を扱う企業にとってセキュリティは最重要の課題です。個人情報を取り扱わない検索サイトのようなページであっても、常時SSL/TLSを導入することでセキュリティへの取り組みをアピールできます。2012年3月、Googleの導入に続き、FacebookやTwitter、YouTubeやNetflixといったWebサービスも次々と導入に踏み切っています。企業のサービスだけでなく、米国政府のように、政府関連の「.gov」全サイトへの導入を2016年末までに義務付けた例もあります。

インターネットの通信量の目安としてHTTP Archiveの統計を見てみると、インターネット全体の通信に占めるHTTPSトラフィックの割合は年々増加しています。2015年8月時点の結果を見ると全トラフィックの20%を超えており、常時SSLの導入を決断するウェブサイト管理者が増え続けると見込まれます。

常時SSLに最適なジオトラストのSSLサーバ証明書

複数サブドメイン構成のウェブサイトを運用する場合に最適なワイルドカード証明書など、ジオトラストは、シマンテックグループならではの高い品質でお手頃価格のSSLサーバ証明書をご提供します。

知っておきたい常時SSL関連キーワード

SSL/TLS暗号化
インターネット上でデータを送受信するときに、暗号化することで盗聴や改ざんを防止する仕組み。SSLは「Secure Socket Layer」、TLSは「Transport Layer Security」の略で、以前はSSLと呼ばれており、現在は標準化されたTLSが一般的だが、「SSL/TLS」とまとめて呼ばれることも多い。
HTTP/2
Googleによって開発された「SPDY」というプロトコルを元にして仕様が定められたWebページの送受信に使われるプロトコル。これまで使われていたHTTP 1.1と比べて、1つのコネクション上で並列に送受信することで効率的に高速な送受信ができるようになっている。
Firesheep
「Firefox」というブラウザでアドオンとして導入できる機能で、無料で提供されている無線LANの通信を傍受し、ログイン情報などを抽出できる。悪用することで、他人になりすましてログインできる可能性があり、危険性が指摘されている。Firesheepの対策として使われる「Force-TLS」というアドオンも用意されている。
SSL Strip
Webサーバとブラウザの通信を傍受して、中間者攻撃を行うツール。SSLによって暗号化されている通信を解読することで、ユーザー名やパスワード、クレジットカード番号などの機密情報を盗み見ることができる。2009年のBlack Hatカンファレンスにおいて、Moxie Marlinspikeというセキュリティ研究者によって発表された。なお、EV SSL証明書は影響を受けない。

常時SSLによって利用者に安心感を与えられ、ウェブサイトの価値が向上することはもちろんですが、それ以外にもサイト運営者にとって常時SSLは多彩なメリットがあります。 ウェブマーケティング担当者にとってはSEOの強化やログ解析の改善に、ウェブ開発担当者はウェブアプリの開発が効率的に、情報システム部門は盗聴やなりすましの防止だけでなくサイバー攻撃対策などセキュリティの強化に、それぞれ役立ちます。

1. SEOに有利な効果
Googleによる2014年8月に行われた変更で、HTTPサイトよりもHTTPSサイトが上位に表示されやすくなりました。これにより、サイトコンテンツの内容が同等であっても常時SSLを導入して全ページをHTTPS化すると、検索結果においてより上位表示を狙うことができます。
2. 利用者に安心感を与える
常時SSLの効果は暗号化通信により盗聴や改ざんを防いでいることを利用者に伝えるだけではありません。企業認証型SSLサーバ証明書を利用して常時SSL化を実現すると、認証局により認証された、正規のウェブサイトであることをサイト利用者に証明でき、なりすましのリスクを下げることが可能です。 EV SSL証明書を利用すれば、利用者がどのページからサイトにアクセスしても、緑のアドレスバーと社名表示により、正しいサイトに接続していることが一目でわかるため、サイト利用者にとっての安心感がさらに高まります。
3. アクセス分析への活用
利用者がどのページから自社のウェブサイトに到達したのかを調べるために使われるのが、リファラ情報です。HTTPSのページからHTTPのページに移動するとリファラ情報を取得できないため、アクセス分析で不利になります。常時SSL化すると、前ページがHTTPとHTTPSのいずれであっても、リファラ情報をより多く取得でき分析に活用できます。
リファラ情報の送信有無 訪問先
HTTP HTTPS
訪問元 HTTP
HTTPS X
4. ブラウジング体感速度の向上
HTTPの通信と比較して常時SSL/TLSでは暗号化の処理が増え、サーバの負荷が増えるという懸念もあります。しかし、通信速度の部分ではHTTP/2への移行により、ダウンロード時間の短縮が見込まれています。Load Impact AB社の調査によると、最新のHTTP/2プロトコルを採用すると速度が50%〜70%程度向上すると期待されています。
主要なウェブブラウザは既にHTTP/2へぼ対応を終えており、サーバ側が対応すれば利用できる状況になっています。常時SSLを導入すると、従来のHTTP1.1よりも短時間でページの内容を表示できるようになるのです。
5. 効率的な開発が可能に
従来のように一部のページだけSSLに対応しようとすると、ページ間のリンクのパス指定やCookieの設定など、管理すべき項目が増えてしまいます。常時SSLを導入するとページ間のリンクは相対パスで統一できますし、Cookieで扱うデータをHTTPとHTTPSで使い分ける必要がなくなり、管理がシンプルになります。

常時SSLに移行する手順

現在HTTPで運用しているサイトを常時SSLに移行する方法はいくつかあります。単純にHTTPSによる通信に変えてしまうと、外部サイトからのリンクが不通になるなど利用者にとって不便もあり、SEO面でも不利になる可能性があります。既存のURLを残しつつ、HTTPSサーバを併用して新しいサイトへと徐々に移行するのがよいでしょう。

HTTPSサーバが稼働し始めた後、完全な常時SSL化へと移行するプロセスとしては大きく分けて3通りの方法があります。

Googleが推奨している、SEO面の影響が最も少ない方法は「.htaccess」というファイルを設置してHTTPのアクセスをHTTPSに転送する方法です。利用者がHTTPのページにアクセスしても、自動的に転送する方法で「301転送」と呼ばれます。

二つ目は利用者にHTTPSの選択肢を用意することです。当初は利用者が選択できるようになっており、その後は初期設定でHTTPSの通信を有効に変更する方法で、Twitterではこの方法が使用されました。
三つ目はこれまでとは異なるドメインで新しく常時SSLのサイトを作成する方法です。利用者に認知されるまで双方で運用し、その後で既存のサイトを閉鎖し、常時SSLのサイトのみを残します。

利用者にとっても検索エンジンにとっても処理しやすいページを作成するには、HTMLとして正しい内容で作成するだけでなく、HTTPとHTTPSが混在することがないように注意しなければなりません。

まず、HTMLを作成するとき、常時SSLを意識してリンク先を設定します。つまり、HTTPSのページ内に「http://」で始めるURLで画像ファイルやJavaScript、CSSファイルなどを記述してしまうと、ブラウザが警告を発してしまいます。ページ内に動画やSNSボタンを埋め込む場合や、オススメ商品や広告、アクセス数を分析するためのタグを追加する、別ファイルとして読み込むJavaScriptなどもHTTPSに対応した内容で作成します。
同じように、Cookieを使う場合もHTTPが混在してしまうと、その値が暗号化されずに盗聴されてしまい、なりすましが発生する可能性があります。これはHTMLに限らず、画像ファイルを読み込む場合でも同じことが言えます。

これらを踏まえて、正しく常時SSLのサイトにするためには、以下のような点に注意します。

  • HTTPではCookieを使わず、HTTPSの場合のみ使用する
  • HTTPSでCookieを使う場合にはセキュア属性を付加する
  • .htaccessなどの設定ファイルを使ってURLを転送し、HTTPSの接続をブロックしない
  • APIによる通信はエラーとし、転送しない
  • 検索エンジンによるアクセスをブロックしない

利用者が印刷物を見てアクセスすることを考え、製品カタログや会社案内などでは「https://」で始まるURLを記載することも忘れないようにしましょう。

技術者に求められるセキュリティ設定

常時SSLを設定するとき、設定を見直さないとセキュリティ上の問題が発生する可能性があります。技術者が実施する設定の中で、以下の二点に注目してみます。

1. セキュリティを意識した設定
SSL/TLSでの通信を行うとき、クライアント側から再ネゴシエーションを行うことが仕様のうえでは認められています。しかし、再ネゴシエーションを行うと、暗号化通信が最初からやり直しになるため、サーバの負荷が高まってしまいます。つまり、DDoS攻撃のようにサーバの負荷を高める攻撃が成功しやすくなります。また、TomcatやMySQL等のソフトウェアに存在する脆弱性が多い「TLS compression」を有効にしている過去のアプリケーションが残っているかもしれません。そこで、「Client‐Initiated Renegotiation(再ネゴシエーション)」と「TLS compression」はそれぞれ禁止します。
2.負荷を意識した設定
SSL/TLSで通信を開始するときには、ネゴシエーションと呼ばれる手続きが必要です。CPU負荷のかかる処理であるため、負荷を低減することは有効な対策になります。負荷を下げる方法として、Webブラウザが行っているOSCPレスポンダへの問い合わせをWebサーバが代行して実行し、SSL通信を開始するときの応答としてクライアントに返す「OCSPステープリング」があります。
その他にもHTTPサイトからHTTPSサイトへ移行するときに、利用者側のブラウザへの応答でリダイレクトさせるのではなく、「HSTS(HTTP Strict Transport Security)」という機能を使う方法もあります。HSTSを使うと、次回以降のアクセスを自動的にHTTPSのサイトに置き換えてアクセスするように指定できます。ただしHSTSは、古いバージョンのブラウザには対応していない場合があるため注意が必要です。

その他、「Keep‐aliveをonにする」「キャッシュを使って画像やCSS、JavaScriptなどのファイルを送信する」「データベース関連コンテンツは使用しない」といった対策もあります。

追加で実施したい設定

認証局が攻撃を受けて、不正に証明書を発行されたことに気付けるようにする仕組みが「Certificate Transparency(CT)」です。CTに対応している認証局は、証明書を発行する際に、発行したことをログサーバに登録します。つまり、ウェブサイトの運営者やドメインの管理者がログサーバを確認することで、不正な証明書が発行されていないか調べられます。このような仕組みに対応した認証局を使用すると、不正に発行された証明書を利用者が信頼することを防げます。SSL証明書を購入するときには、CTに対応した認証局から購入することや「Content Security Policy(CSP)」を設定しましょう。

常時SSL化で重要性を増す証明書の認証

常時SSL化というとSSL暗号化が実現できる証明書を選べば十分と考えがちですが、そうではありません。常時SSL化対応サイトが急増する中で、サイト利用者が安心して情報を送信するためには、情報を送る相手先が確かに自分の意図する相手であるかを明瞭に確認できることが大切です。 ウェブサイトの身元確認方法(認証)の違いにより、SSLサーバ証明書は3種類に分類されます。 もっとも簡易な認証を用いるのが「ドメイン名認証型(Domain Validation)証明書」で「DV証明書」と呼ばれます。ドメイン使用権のみを確認して発行されるため、発行までの期間も短く一般的に低価格ですが、サイト運営団体の身元証明機能は備えていないため、不特定多数のユーザによるアクセスを想定しないイントラネットなどでの利用が中心です。

サイト運営団体の身元証明機能を備えるタイプの証明書は、 「企業認証型(Organization Validation)証明書」と称されます。ドメイン使用権に加えて運営組織の実在性を確認して発行されます。企業の公式サイトなど、不特定多数のユーザによるアクセスを想定するサイトで一般的に利用されます。

企業認証型証明書の中で、さらに厳しい身元確認プロセスを経たうえで発行されるのが「EV SSL(Extended Validation)証明書」です。EV SSL証明書は、導入サイトでSSL暗号化通信を行う際にブラウザのアドレスバーが緑色に変化し運営団体名も表示されることから、常時SSL化に最も適した証明書です。EV SSL証明書で常時SSL化を実現すれば、ユーザがどのページからサイトにアクセスしても、サイトの身元と、通信の安全性をひとめで伝えられます。

  EV SSL 証明書 企業認証型
証明書(OV)
ドメイン名認証型
証明書(DV)
ブランド SymantecGeoTrust GeoTrust
主な製品 ジオトラスト
トゥルービジネスID with EV

シマンテック
グローバル・サーバID EV
セキュア・サーバID EV
ジオトラスト
トゥルービジネスID

シマンテック
グローバル・サーバID
セキュア・サーバID
ジオトラスト
クイックSSLプレミアム
特長 最高レベルの認証と 信頼性の視認性向上
(運営主体の常時表示、 緑のURLバー)
企業向け標準
レベル の
認証と信頼性
暗号化と
簡易的な認証
ブラウザでの
見え方
認証の厳格さ ★★★ ★★
申請から発行までの目安 1〜2週間 3営業日以内
(即日発行オプション有)
最短2分
企業認証型 ドメイン名認証型

複数サブドメイン・複数ドメイン構成のサイトに最適なワイルドカード証明書

多くのドメインやサブドメインを保持するサイトで常時SSL化を行う場合、複数のサブドメインに対応した「ワイルドカード証明書」や、複数のドメインにも対応できる「マルチドメイン証明書」を利用するとコストを抑えつつ、証明書の管理もシンプルにできます。 いずれの証明書もスマートフォンには対応済みですが、古い携帯電話の場合は未対応な場合があることに注意が必要です。

ワイルドカードSSLサーバ証明書

日本ジオトラスト株式会社 お問合わせ窓口

申請から導入まで日本語による万全のサポート。お問合わせやご相談、ご質問は以下の窓口までお気軽にご連絡ください。SSL/TLSの知識が豊富な担当者がお答えいたします。