SSL/TLS 証明書とは？なぜ必要か？

セキュアソケットレイヤ（Secure Socket Layer、SSL）あるいは転送レイヤセキュリティ（Transport Layer Security、TLS）は、Web サーバーと Web ブラウザ間で送信されるデータを暗号化するセキュリティテクノロジーです。

意味合いとしては TLS の方が適切かもしれませんが、特に Web サイトの保護に必要な証明書としては、SSL と省略される場合が多いようです。

ここ数年来、ブラウザが、訪問しようとしている Web サイトが安全でないことをユーザーに警告するようになり、SSL 認証は単なるオプションではなく、必要事項になってきています。オンラインでショッピングをするのに慣れたユーザーは十分な知識があり、”https”（最後の “s” はセキュアの “s”）のサイトであることを確認したり、ロックのアイコン（これも、セキュアな暗号化接続の指標）をチェックしたりするべきだという認識を持っています。これらの視覚的な指標を有効にするのは SSL 証明書であり、すべての証明書は接続のサーバー側（ポート443経由）にインストールする必要があります。

暗号化は一般に推奨されており、特にクレジットカードによる支払いを受け付けるにとって重要であることは、誰もが認識していると言っていいでしょう。実際、SSL は PCI-DSS コンプライアンスの要件です。では、ウェブサイトで何も販売していなければ関係ないでしょうか？

ピギー・イン・ザ・ミドル？

Web サイトオーナーは、どんな情報でも第三者に傍受されたくありません。連絡フォームで送信されたデータも中間者攻撃により傍受される可能性があり、サイトで処理される電子メールも同じ方法で傍受される可能性があります。メーリングリストや購読者データの更新など、同様のケースがたくさんあり、すべての接続を暗号化することは明らかにベストな方策です。

オンラインショッピングサイトかどうかにかかわらず、すべての Web サイトにとって SSL 証明書が有益だということに異論はないはずですです。しかし、何事にも賛否両論があるもので、実際にどうするかという話になると、いろいろな観点から考察する必要があります。

SSLの利点

ハードウェアやソフトウェアのパフォーマンス不足に起因するものでない場合、変更を押し付けられるのには抵抗を感じるものです。そのような筆者でも、何年か前に、自分のサイトに対する「安全でない」というブラウザからの警告が継続的に発せられ、検索エンジンのランキングにも悪影響が出てきて、事情がのみ込めました。それまでの自己署名のオープンソース代替物ではなく、SSL 証明書をインストールしました。当時、無料のオプションはありませんでした…

SSLの利点として、次のような点が挙げられます。

• 暗号化 – すべてのトラフィックを暗号化するのがベストです。連絡先フォーム用に、あるいは購読者リスト用に、メールアドレスを収集するだけであっても、SSL を使用する方が安全です。
• ID 検証は SSL プロセスの一部になっているので、フィッシング攻撃で簡単に Web サイトになりすますことはできません。部外者は Web サイトの SSL 証明書を取得できません。
• 信頼感の向上 – ブラウザや HTTPS Everywhere などのアドオンが警告を出すので、SSL がなければユーザーがサイトにアクセスする可能性は低くなります。e-コマースでクレジットカードなどの情報を入手するかどうかにかかわらず、ユーザーは信頼できるかどうかを重視します。SSL 証明書が使われているかどうか、ロックアイコンをクリックしてチェックすることも可能です。
• SSL なしでは PCI に準拠できません。

SSLの欠点

トラフィックが多くないサイト（デジタルポートフォリオとして使用する場合なども含めて）のオーナーにとっては、ホスティングにかかる費用も痛いのですが、SSL 証明書には追加コストがかかります。これが SSL の最大の欠点ですが、この欠点は、無料のソリューション、Let’s Encrypt が登場したことで解消したようです。Mozilla、Cisco、Electronic Frontier Foundation（EFF）などの主要なスポンサーと寄付者のおかげで、怪しいソリューションではなく、無料ながらちゃんとした認証局（Certificate Authority、CA）です。

暗号化は明らかにより多くのリソースを必要とするため、トラフィックの多いサイトではパフォーマンスが問題になる場合があります。

どのSSL証明書を選択するか？

SSL 証明書の選択はそれほど困難ではありません。無料のドメイン検証済み証明書を避けることになる、「きちんと支払って、支払った対価に相応するサービスを得る」ことをモットーにしていますか？その場合は、無料のものでなく有料のものを選択すればいいでしょうが、筆者には無料のもので十分なので、ホスティングプロバイダを通して無料の Let's Encrypt の証明書を利用しています。独自に Web サーバーを管理している場合は、証明書をインストールするための技術的な知識が必要です。

ここ10年ほどの間に、SSL 認証をサービスする企業が増えてきました。これらの認証局（certificate authorities、CA）は、発行された証明書を検証します。ほとんどのブラウザが、主要なプロバイダのルート証明書を組み込んでいます。認証局は、プレミアムオプションとして SSL 証明書を提供する幅広いネットワークを持っています。コストは、以下の３つのレベルに応じて異なります。

• ドメイン認証 – そのドメインをコントロールしていることが証明（たとえば、ファイルをアップロードすることなどで）されれば、証明書が発行されます。
• 企業認証 – 法的に実在している企業・団体がそのドメインを所有していることを証明し、証明書には組織情報が含まれて表示されます。
• 拡張認証（Extended Validation、EV) – 企業・団体のアイデンティティを証明する登記簿などとの照合も行う、最も厳格なレベルで、ブラウザによっては会社名が緑のバーで表示されます。

ドメインとサブドメインの数も関係します。サブドメインにはワイルドカード証明書が必要です。

W3Techs の調査報告、Usage of SSL certificate authorities for websites によると、IdenTrust (同社は、Let’s Encrypt のドメイン認証と相互合意しています)がマーケットリーダーです。

ドメイン認証だけでいいのか、それ以上のレベルものが必要か、などといった点は各自検討してください。ただ、信頼性に疑問を感じたユーザーは、SSL があるから安心、とは思わないでしょう。企業の信頼性については、オンラインでいろいろと確認できます。信頼性を確立するのに、SSL 証明書だけに頼ることはできません。

SSL 証明書は必要だと思いますが、無料のオプションがあり、一般に受け入れられています。有償のオプションが必要と考える場合は、その理由を自問してみてください。強化された暗号化や複数のサブドメインは、その理由になり得るでしょうが、見た目がいい緑のバー（EV 認証）を取得するのに追加の数百ドルを支払うことは正当化できるでしょうか？じっくり考えて選択してください。