常時SSLで「保護されていない通信」を解消しよう

学会のホームページにアクセスして、アドレスバーに「保護されていない通信」という警告が出ることがあります。個人情報を書き込みさえしなければ、大丈夫というのは昔の話です。学会ホームページ運営者として、ユーザーの不安を解消するために、進化するハッキングテクニックに対抗する 常時SSL について考えます。

「保護されていない通信」とは

Google Chrome でホームページを見ていて、アドレスの先頭に「保護されていない通信」と表示されることがあります。
この状態で、サイト内検索などの入力ボックスに何か文字を書き込むと、「保護されていない通信」が赤字に変化します。
図1 SSL通信でないページで、何か入力すると「保護されていません」が赤く表示される。
図1 SSL通信でないページで、何か入力すると「保護されていません」が赤く表示される。

これは、そのホームページがSSL通信でないので、「通信内容を盗み見られる危険がある」ということを警告しているのです。
たとえば、そのホームページでサイト内検索をすれば、悪意のある第三者に検索語句とその結果が盗み見られることがあるわけです。

こうした被害を防ぐ技術が SSL通信 です。
SSL通信 とは、そのホームページ上のやりとりを暗号化することで、覗き見、なりすまし、改竄といった被害を防ぐ技術です。SSL化されたページを Chrome でみると、図のように、 錠前マークが表示され、アドレスが http から https へ変わります。
図2 SSL通信のページでは <i class="fa fa-lock" aria-hidden="true"></i> が表示される。
図2 SSL通信のページでは が表示される。

常時SSLの登場

検索語句くらいならいいじゃないか。盗み見られるのが、クレジットカード番号や住所などのプライバシーに関わる情報なら問題だから、そういうのを書き込むページだけ SSL通信にすればいい -- 以前はそのように考えられていました。
しかし近年、暗号化されていないページで、通信中に第三者が割り込んできて、通信内容を盗み見て、改竄したニセ情報にすり替えるということが行われるようになりました。これを中間者攻撃といいます。

この中間者攻撃に対抗して、考案されたのが 常時SSL です。
常時SSL は、ホームページ全体をまるごと SSL通信にする技術です。常時SSL化すると、そのホームページ内のどのページも、図2のように、 が表示され、アドレスが https からはじまるようになります。

常時SSL化の手順

常時SSL化するには、SSL/TLSサーバー証明書(SSLサーバー証明書)が必要です。まだ、SSL/TLSサーバー証明書(SSLサーバー証明書)を取得していない場合、導入までの手順は以下の通りです。

  1. ホームページのオーナーが、第三者機関である SSL認証局に、SSL/TLSサーバー証明書(SSLサーバー証明書)を申請する。
  2. SSL認証局は、ホームページのオーナーが実在することを認証し、SSLサーバー証明書を発行する。
  3. ホームページ運営者はSSLサーバー証明書をWebサーバーにインストールする。
  4. ホームページ全体をSSL通信に適合させるための設定をする。

もし、すでにお問い合わせページだけでもSSL化しており、お問い合わせページに錠前マークが表示されているのであれば、すでにSSLサーバー証明書の取得とインストールは終わっています。なので、手順4の「ホームページ全体をSSL通信に適合させるための設定をする」だけですみます。具体的には、ホームページ制作会社に依頼すればできるはずです。

新規にSSLサーバー証明書を取得する際の留意点

SSLサーバー証明書は持っていない、新規に取得することからはじめなければならない場合、SSL認証局にどうやって申請すればいいのでしょうか?

学会のホームページはたいていレンタルサーバを利用しています。
レンタルサーバーの場合、SSLサーバー証明書はそのレンタルサーバーのホスティング会社に依存しています。ホスティング会社は SSL認証局の販売代理店のため、ユーザーはヨソで購入した SSL証明書を持ち込めない仕様になっているところもあります。そのため、SSLサーバー証明書はホスティング会社が提供するサービスの中から選び、ホスティング会社が設定した価格を、ホスティング会社に支払うことになります。

SSLサーバー証明書には、認証レベルの違いに基づき、DV(ドメイン認証)、OV(組織認証)、EV(特別認証)の3種類があります。以下、表にまとめてみました。

種類 DV
ドメイン認証
OV
組織認証
EV
特別認証
証明内容 ドメイン登録者の確認 ドメイン登録者の確認
+ ホームページ運営組織の実在性の証明
ドメイン登録者の確認
+ ホームページ運営組織の実在性の証明
+ 組織所在地の認証
暗号化通信
ドメイン名の所有権の確認
組織の実在性の確認方法 第三者機関のデータを確認。 第三者機関のデータと電話等で組織の所在地も確認。
フィッシング詐欺対策
発行対象者 個人・法人 法人・個人 法人
価格 0円 ←→ 10万円/年以上
信頼性 低い ←→ 高い
対象となるホームページの用途 ユーザーに閲覧してもらうだけ
問い合わせフォームなどはあるが、
直接お金・物品のやり取りをしない
個人情報の入力が必要な会員制サイト
クレジットカード情報の入力が必要なECサイト
フィッシング詐欺に利用されやすい公的機関
有名ECサイト
有名サイト
オンラインバンキングなど
アドレスバーの見え方 https://... https://... 法人名 | https://...

* Organization Validation = 組織認証、Extended Validation = 特別認証 は弊社の訳語です。別の訳語を使用しているサイトもあります。

無料SSL Let's Encrypt

ホスティング会社によっては、無料SSL Let's Encrypt (レッツ・インクリプト) を選択できる場合があります。
SSLサーバー証明書の販売手数料が、主要な収入源であるホスティング会社があえて無料SSLもラインナップするのに、違和感があるかもしれません。
しかし、Let's Encrypt はけして怪しげなパチモンではありません。
Let's Encrypt は、Internet Security Research Group (ISRG) という公益法人が発行する SSLサーバー証明書です。
ISRGは、誰もがインターネットを安心して使えるようにSSLの普及を目指して、無料でSSLサーバー証明書の発行・運用をしています。
そして、世界じゅうのホスティング会社に SSL を導入しやすいシステムづくりを呼び掛け、日本でも一部のホスティング会社がこれに呼応したというわけです。
Let's Encrypt は、暗号化強度など機能的にも、他の有料SSL と遜色はありません。認証とインストールがほぼ同時に行えるので、実装が早いのが特長です。(有料SSL の場合、認証に1か月近くかかる場合があります。)
ただし、システム上、DV(ドメイン認証)しかできません。
もし、ドメイン認証で十分であり、ホスティング会社のラインナップにあれば、筆者は Let's Encrypt の導入をお勧めします。

まとめ

常時SSL は、ホームページ上のすべてのページでの通信を暗号化する技術で、これにより、そのホームページユーザーを中間者攻撃から守ります。
学会ではレンタルサーバーがよく使われるため、ホスティング会社が販売代理店をするSSL認証局からサービスを選ぶことになります。もし無料SSL Let's Encrypt が選択できるのであれば、有力な候補として考慮に値します。


コメントを残す