2019/07/29

SSLの仕組みと設定手順について

SSLの仕組みと設定方法

解説猫(仮) 解説猫(仮)SEO解説担当の猫さんです
元SEOディレクターで、現在は自社マーケティングやってるみたいです
・趣味:昼寝
・どんな人でもわかる優しい説明をこころがけているが、そんなにうまくはない
・冷静な判断で仲間からの信頼も厚い(自称)
竹内 竹内現役SEOディレクターのおじさんです 顔は怖いけど美しく清らかな心の持ち主です
・顔は怖いが、丁寧な対応でクライアントからの信頼も厚い
・顔は怖いが、空気を読むスキルが高く冗談も通じる
・顔は怖いが、笑顔も結構怖い

インターネットは環境さえ整っていれば誰でも閲覧可能で、その分個人情報などのセキュリティは厳重に管理する必要があります。
今回は個人情報を守るための「SSL」について、「SSLとは何か?」「SSL通信の仕組み」「設定手順について」といった基本的な項目を、初心者に向けてわかりやすく解説します!

解説猫(仮)
こんにちは、こんばんは、解説の猫(仮)と申します。
この記事では、SSL対応について説明していきます。
よろしくお願いしますね。
竹内
こんにちは!竹内と申します。
SSLはもはや常識になってきましたね。
セキュリティの問題は「知らなかった」じゃ済みませんからね。
しっかり解説させていただきます!

SSLとは?

SSLとはSecure Sockets Layerの略で、ユーザーのWebブラウザとサーバー間のデータ通信を暗号化する通信技術です。
難しい方はブラウザが「皆さんのPC」で、サーバーが「Webサイト」だと考えてください。

インターネット上で個人情報を安全に通信するためのセキュリティー対策として利用されています。
氏名・住所、クレジットカード情報、ログインパスワードといった個人情報は、常に悪意ある第三者に狙われています。
SSL化は通信中にこれらの情報が第三者からの盗聴や、送受信データの改ざんを防ぐ役割を担っています。
また、ホームページをSSL化する際、サイトのURLは「http」から「https」に移行します。
安全であるという意味のsecure(セキュア)の頭文字です。

SSL化が必要な理由 – 想定されるリスク

SSL非対応ですと情報漏洩の可能性があります。
SSL化によってデータ通信内容が暗号化されると、第三者に情報を盗聴されたとしても、内容を解読することが出来なくなります。
これにより、個人情報の流出や改ざんなどの深刻な事態を回避できます。

また、SSL非対応なサイトでは、成約における機会損失が発生する可能性もあります。
※皆さんは信用できないサイトで買い物をしたり、サービスの申し込みはしませんよね?

他に、GoogleAnalytics(Googleが提供しているアクセス解析ツール)にも影響があります。
httpのままだと、「https」のサイトからのアクセスデータを正しく計測できないのです。
リスクの観点からも、解析の観点からもSSL化の実装は必要です。

解説猫(仮)
e7abb9e58685e381afe9a194e3818ce68096e38184
竹内
ちょwいきなりどうしたんすかw
解説猫(仮)
暗号化をやってみたのです。
竹内
はぁ…
どうせまた僕の悪口とか言ってるんでしょう?
解説猫(仮)
正解:竹内は顔が怖い
竹内
暗号化意味ないっすね!w
でも確かに、僕以外には何言ってるかわからないですね。
仮に上の暗号が猫さんの個人情報だったとしても、これなら安心ですね。
解説猫(仮)
逆に暗号化なしは本当に怖いのです。
次のセクションではもう少し詳しく、SSL対応について解説を進めます。

SSLのバージョンとTLSについて

SSLは「SSL1.0」というバージョンでスタートし、「バージョン3.0」まで存在します。
バージョンアップの過程で設計の見直しが必要になり「TLS(Transport Layer Security)」というSSLの次世代規格が生まれました。
SSLの呼称が広く浸透している為、TLSとまとめて「SSL」と呼ばれたり「SSL/TLS」と呼ばれたりしています。

SSLサーバー証明書とは?

SSLサーバー証明書は信頼のおける第三者機関=認証局が発行する電子的な証明書で、webサイトを安全に利用できることを証明するものです。

SSLサーバー証明書の必要性

データ通信の安全性が保たれていることを利用者に伝える為には、SSLサーバー証明書によってその安全性が保障されている必要があります。
サーバー証明書にはwebサイトの安全性を保つための3つの機能があります。

●ウェブサイトの所有者確認
●通信データの暗号化
●改ざんの検知

それぞれについて解説いたします。

ウェブサイトの所有者確認

下記2点を確認します。
・その証明証が正しい「認証局」から発行されているか?
・今通信しているサーバーが証明書に記載されているサーバーと一致しているか?

通信データの暗号化

SSLではデータの暗号化と復号化(暗号化されたデータを復元)するために、特別な「鍵」を用いて送受信を行います。
下記手順により、行われます。

①:サーバーの管理側がユーザーに、サーバー証明書と公開鍵を提供
②:ユーザーは公開鍵を使って暗号化した共通鍵をサーバーに送付する
③:送られた共通鍵を秘密鍵で復号化する
④:これ以降、双方共に共通鍵を使ってデータの暗号化と復号化を行ってやり取りする

改ざんの検知

データを送信する際に、「ハッシュ関数」と呼ばれる内容を要約する一意の短いデータ関数を同時に送信します。
受診側がデータを受診した際にこの関数の値が変わっていた場合は、通信途中で誰かが入力データを書き換えたという事が分かる仕組みになっています。

サーバー証明書としての効力が失われている認証局

下記の認証局が発行しているSSLサーバー証明書を利用しているサイトは、ブラウザ側で証明書の効力が保証されていない状態になります。

Symantec
GeoTrust
RapidSSL
Thawte
解説猫(仮)
SSLは勝手に設定して終わりではないのです。
正しい「認証局」が発行した「サーバー証明書」がないと、SSLに対応していることは証明できません。
竹内
証明できないとどうなるんですか?
解説猫(仮)
ヤバイです。
竹内
では次のセクションでは、実際のSSLの手順と、証明されなかった場合について説明します!スクロールしてご覧ください!

SSL実装に必要な手順

①SSLサーバー証明書の手配

認証レベルの強度に応じて必要となるSSLサーバー証明書が異なります。
利用目的や予算に応じたものを選びましょう。

②SSL証明書の申請・インストール・サーバー設定

サーバー証明書は購入後すぐに設定できるわけではありません。
申請元の情報を審査してもらい、その後証明書が発行され、サイトの存在するwebサーバー上で設定を行います。

③HTTPSページ内のHTTPリソースの書き換え

HTMLソースコードを確認し、「http」で記載しているURLを「https」に変更しましょう。

④CMS(WordPressや利用プラグイン)内の設定変更

CMSにより生成されるソースコードも「https」に修正する必要があります。
利用しているテーマなどの画像パスやサイトアドレスの設定をチェックし、適宜変更しましょう。

⑤サイトのHTTPS(SSL)化のテスト確認

サイトを表示した際に「https」のアドレスが表示されるかのチェックをしましょう。

⑥HTTPからHTTPSへのリダイレクト

後述する.htaccessを用いて転送設定を行います。
転送前のページの評価を引き継ぐことが可能です。

⑦サーチコンソールへの新規登録

サーチコンソールは、「http」と「https」のURLを区別して管理していますので、新しくプロパティを新規追加して登録しましょう。

.htaccessを用いたリダイレクト設定

SSL化をする際は、「http」から「https」にリダイレクトする必要があります。
「http」のサイトを閲覧できてしまうと、セキュリティの観点から問題が発生する可能性があるためです。
リダイレクトの設定は下記記事の「SSL化(http⇒https)」にまとめていますので、設定の際は参考にしてみてくださいね。

.htaccessのリダイレクト – 書き方・設置場所・設定方法を解説します

SEOへの影響とブラウザ表示について

SSL化することで、わずかながら検索順位に影響を与えます。
しかし、SSL化していても品質の高いコンテンツがないと、上位表示はされません。
また、SSL化が完了していないwebページはアドレスバーに「保護されていない通信」と表示されてしまいます。

保護されていない通信

一方安全なサイトでは、アドレスバーに鍵マークが表示されます。
HTTPS化が完了していないwebページはブラウザ上で警告が表示されますので、クリック率に影響がありそうです。

保護された通信

SSL化を行ったのに警告表示される

SSLを実装しても、下記のような状態だと警告が表示されます。

・内部リンクのリンク先URLが「http」のまま
・画像やスクリプトなど、「http」サーバー内の外部ファイル使用

サイト内の全てのリンク・コンテンツは「https」である必要があります。
警告が消えない場合は、「http」が残っていないか確認してみてください。

竹内
SSLに対応しないと、検索順位や検索結果の表示にも影響するんですね!
解説猫(仮)
その通りなのです。
今やSSL対応は常識になってきていて、Googleも全ページのSSL対応を推奨しています。
対応してない方はやばいです、死にますよ。
竹内
いきなり何煽ってるんですかw
でも、SSL対応は重要で、対応した方がいいのは事実ですね。
対応がまだの方は、是非対応してください!

まとめ

SSL化はセキュリティはもちろん、SEOの観点からもSSL化は推奨されています。
ユーザーの不安を取り除き、安心してサイトを使ってもらうためにも、是非SSL化を行ってみてください!

資料を無料でダウンロード
資料を無料でダウンロード
無料資料ダウンロードボタン

ページの一番上へ