HTTPS および SSL 証明書: Web サイトを安全にする (そしてそうすべき理由)

連絡先情報、ログイン認証情報、アカウント情報、位置情報、その他悪用される可能性のある個人情報をインターネット経由で送信することに関しては、一般の人々はハッカーや個人情報窃盗犯に対してまったく偏執的です。そして当然のことながらそうです。自分の情報が盗まれたり、改ざんされたり、悪用されたりするのではないかという不安は、決して不合理なものではありません。過去数十年にわたる情報漏洩やセキュリティ侵害に関する見出しがそれを証明しています。しかし、この恐怖にもかかわらず、人々はウェブ上で銀行業務、ショッピング、日記、デート、社交、その他の個人的および職業上のビジネスを行うためにログオンし続けています。そして、彼らにこれを行う自信を与える小さなことが1つあります。それをお見せします:

すべてのユーザーがその仕組みを理解しているわけではありませんが、アドレス バーにある小さな南京錠は、Web ユーザーに正規の Web サイトへの信頼できる接続があることを示しています。訪問者があなたの Web サイトを開くときにアドレス バーにそのアドレスが表示されなければ、ビジネスを獲得することはできませんし、そうすべきではありません。

Web サイト用の小さなアドレス バーの南京錠を取得するには、SSL 証明書が必要です。どうやって手に入れるのですか？続きを読んで調べてください。

記事の概要:

• SSL/TLSとは何ですか?
• HTTPS を使用するには?
• SSL 証明書とは何ですか? 証明書を取得するにはどうすればよいですか?
• SSL証明書ショッピングガイド
  • 証明する機関
  • ドメイン検証と拡張検証
  • 共有SSLとプライベートSSL
  • トラストシール
  • ワイルドカードSSL証明書
  • 保証
  • 無料のSSL証明書と自己署名SSL証明書
• SSL証明書のインストール
• HTTPS の長所と短所

SSL/TLSとは何ですか?

Web では、データはハイパーテキスト転送プロトコルを使用して転送されます。そのため、すべての Web ページの URLの前に「http://」または「http s ://」が付いています。

httpとhttpsの違いは何ですか? この余分な小さな S は、セキュリティという大きな意味を持ちます。

説明しましょう。

HTTP は、コンピュータとサーバーが相互に通信するために使用する「言語」です。この言語は世界中で理解されているため便利ですが、欠点もあります。インターネットを介してユーザーとサーバーの間でデータが受け渡されるとき、最終目的地に到達するまでに途中でいくつか停止します。これには 3 つの大きなリスクが伴います。

• 誰かがあなたの会話を盗聴するかもしれないということ（デジタル盗聴のようなもの）。

• 誰かがどちらかの側の当事者 (または両方) になりすます可能性があります。

• 転送されるメッセージが誰かによって改ざんされる可能性があります。

ハッカーや嫌がらせ者は、フィッシング戦略、中間者攻撃、古き良き時代の広告など、上記を組み合わせてさまざまな詐欺や強盗を行います。悪意のある攻撃は、暗号化されていない Cookie を傍受 (盗聴) して Facebook の認証情報を盗み出すという単純な場合もあれば、より高度な攻撃である場合もあります。たとえば、銀行に「私の ISP に 100 ドルを送金してください」と伝えていると思っても、仲介者がそのメッセージを「私のお金すべて 100 ドルをシベリアの ISP ペギーに送金してください」のように変更する可能性があります (データ改ざん)そしてなりすまし）。

つまり、これらが HTTP の問題です。これらの問題を解決するには、HTTP にセキュリティ プロトコルを重ねて、HTTP Secure (HTTPS) を実現します。最も一般的に、HTTPS の S は、Secure Sockets Layer (SSL) プロトコルまたは新しい Transport Layer Security (TLS) プロトコルによって提供されます。HTTPS を導入すると、双方向暗号化(盗聴を防ぐ)、サーバー 認証(なりすましを防ぐ)、およびメッセージ認証(データ改ざんを防ぐ) が提供されます。

HTTPSの使用方法

話し言葉と同様、HTTPS は双方が話すことを選択した場合にのみ機能します。クライアント側では、ブラウザのアドレス バーに URL の前に「https」と入力することで、HTTPS を使用するかどうかを選択できます (たとえば、http://www.facebook.com と入力する代わりに、https://www.facebook と入力します)。 .com）を使用するか、 FirefoxおよびChromeの HTTPS Everywhere など、自動的に HTTPS を強制する拡張機能をインストールします。Web ブラウザが HTTPS を使用している場合、サーバーとの接続が安全であることを示す南京錠アイコン、緑色のブラウザ バー、親指、またはその他の安心感を与えるサインが表示されます。

ただし、HTTPS を使用するには、Web サーバーがそれをサポートしている必要があります。あなたが Web マスターで、Web 訪問者に HTTPS を提供したい場合は、SSL 証明書または TLS 証明書が必要になります。SSL または TLS 証明書はどのように取得しますか? 読み続けます。

詳細: 一部の人気のある Web アプリでは、ユーザー設定で HTTPS を選択できます。Facebook、Gmail、Twitterでの記事をお読みください。

SSL 証明書とは何ですか? 証明書を取得するにはどうすればよいですか?

HTTPS を使用するには、Web サーバーに SSL 証明書または TLS 証明書がインストールされている必要があります。SSL / TLS 証明書は、Web サイトの写真付き ID のようなものです。HTTPS を使用するブラウザが Web ページにアクセスすると、クライアント コンピュータが SSL 証明書を要求する「ハンドシェイク」が実行されます。次に、SSL 証明書は信頼できる認証局 (CA) によって検証され、サーバーが本人であることが検証されます。すべてがチェックアウトされると、Web 訪問者には安心感を与える緑色のチェック マークまたは鍵のアイコンが表示されます。何か問題が発生した場合、サーバーの ID を確認できないことを示す警告が Web ブラウザーから表示されます。

SSL証明書の購入

Web サイトに SSL 証明書をインストールする場合、決定すべきパラメータが数多くあります。最も重要なことを見てみましょう。

証明する機関

認証局 (CA) は SSL 証明書を発行する会社であり、訪問者が Web サイトにアクセスするたびに証明書を検証します。各 SSL 証明書プロバイダーは価格と機能で競争しますが、認証局を精査するときに最も考慮すべきことは、最も一般的な Web ブラウザーにプリインストールされている証明書を持っているかどうかです。SSL 証明書を発行する認証局がそのリストにない場合、サイトのセキュリティ証明書が信頼されていないことを示す警告がユーザーに表示されます。もちろん、これはあなたの Web サイトが違法であることを意味するのではなく、あなたの CA が (まだ) リストに載っていないことを意味します。ほとんどのユーザーはわざわざ警告を読んだり、認識されていない CA について調べたりしないため、これが問題となります。おそらくクリックするだけでしょう。

幸いなことに、主要なブラウザにプリインストールされている CA のリストは非常に膨大です。これには、いくつかの大手ブランド名だけでなく、あまり知られていない、より手頃な価格の CA も含まれています。有名な企業としては、 Verisign、Go Daddy、Comodo、Thawte、Geotrust、Entrust などがあります。

自分のブラウザの設定を調べて、どの認証局がプリインストールされているかを確認することもできます。

• Chrome の場合は、[設定] –> [詳細設定を表示…] –> [証明書の管理] に移動します。
• Firefox の場合は、[オプション] –> [詳細設定] –> [証明書の表示] を実行します。
• IE の場合、[インターネット オプション] –> [コンテンツ] –> [証明書]。
• Safari の場合は、Finder に移動し、「移動」 –> 「ユーティリティ」 –> 「KeyChain Access」を選択し、「システム」をクリックします。

ドメイン検証と拡張検証

SSL 証明書は、情報の送信先 Web サイトの身元を証明することを目的としています。正当に管理していないドメインの偽の SSL 証明書を持ち出さないようにするために、認証局は、証明書を要求している人が実際にドメイン名の所有者であることを検証します。通常、これは、Web サイトがアカウント確認リンクを含む電子メールを送信する場合と同様に、簡単な電子メールまたは電話による検証によって行われます。これは、ドメイン検証済みSSL 証明書と呼ばれます。この利点は、SSL 証明書をほぼ即座に発行できることです。おそらく、このブログ投稿を読むよりも短い時間でドメイン検証済み SSL 証明書を取得できるでしょう。ドメイン検証済みの SSL 証明書を使用すると、南京錠を取得し、Web サイトのトラフィックを暗号化できるようになります。

ドメイン検証済み SSL 証明書の利点は、迅速、簡単、安価に取得できることです。これは彼らの欠点でもあります。ご想像のとおり、自動システムを騙すのは、生身の人間が実行するシステムよりも簡単です。それは、高校生が自分はバラク・オバマであり、政府発行の身分証明書を取得したいと言って DMV に入ってきたようなものです。窓口の人は彼をひと目見て、FRB（またはおかしなゴミ箱）に電話するでしょう。しかし、それが写真付き身分証明書キオスクを操作するロボットだったら、多少の幸運があるかもしれません。同様に、フィッシング詐欺師はドメイン検証システムをだまして、Paypal、Amazon、Facebook などの Web サイトの「偽 ID」を入手できます。2009 年、Dan Kaminsky は、CA を騙してフィッシング Web サイトを安全で正規の接続であるかのように見せかける証明書を取得する方法の例を公開しました。人間にとって、この詐欺は簡単に見破られるでしょう。しかし、当時の自動ドメイン検証には、このような事態を防ぐために必要なチェックが欠けていました。

SSL およびドメイン検証済み SSL 証明書の脆弱性に対応して、業界は拡張検証証明書を導入しました。EV SSL 証明書を取得するには、会社または組織が政府と良好な関係にあり、申請しているドメインを正当に管理していることを確認するために、厳格な審査を受ける必要があります。とりわけ、これらのチェックには人的要素が必要なため、時間がかかり、費用も高くなります。

一部の業界では、EV 証明書が必要です。しかし、他の人にとっては、訪問者が認識できる範囲でのみメリットが得られます。毎日 Web を訪問する人にとって、その違いはわずかです。南京錠のアイコンに加えて、アドレス バーが緑色に変わり、会社名が表示されます。詳細については、クリックすると、Web サイトだけでなく、企業の身元が確認されたことがわかります。

通常の HTTPS サイトの例を次に示します。

次に、EV 証明書 HTTPS サイトの例を示します。

業界によっては、EV 証明書に価値がない場合があります。さらに、これを取得するには企業または組織である必要があります。大企業は EV 認証に向けた傾向にありますが、HTTPS サイトの大部分は依然として非 EV の趣を誇っていることに気づくでしょう。Google、Facebook、Dropbox にとって十分であれば、おそらくあなたにとっても十分でしょう。

もう 1 つ、組織検証またはビジネス検証と呼ばれる中間的なオプションがあります。これは自動ドメイン検証よりも徹底的な検査ですが、拡張検証証明書の業界規制を満たすまでにはいきません (拡張検証が大文字で表記され、「組織検証」が大文字で表記されていないことに注目してください)。OV またはビジネス検証済みの認定は費用が高く、時間がかかりますが、緑色のアドレス バーや企業の身元が検証された情報は得られません。率直に言って、OV 証明書にお金を払う理由が思いつきません。思い当たることがあれば、コメントで教えてください。

共有SSLとプライベートSSL

一部の Web ホストは共有 SSL サービスを提供しており、多くの場合、プライベート SSL よりも手頃な価格です。価格以外の共有 SSL の利点は、プライベート IP アドレスや専用ホストを取得する必要がないことです。欠点は、独自のドメイン名を使用できないことです。代わりに、サイトの安全な部分は次のようになります。

https://www.hostgator.com/~yourdomain/secure.php

これをプライベート SSL アドレスと比較してください。

https://www.yourdomain.com/secure.php

電子商取引サイトやソーシャル ネットワーキング サイトなどの一般公開サイトの場合、メイン サイトからリダイレクトされたように見えるため、これは明らかに面倒です。ただし、メール システムの内部や管理者領域など、通常は一般ユーザーが閲覧しない領域では、共有 SSL が有効である可能性があります。

トラストシール

多くの認証局では、証明書のいずれかにサインアップした後、Web ページに信頼シールを配置できます。これにより、ブラウザ ウィンドウで南京錠をクリックする場合とほぼ同じ情報が得られますが、視認性が高くなります。トラストシールを含めることは必須ではありませんし、セキュリティを強化するものでもありませんが、SSL 証明書の発行者が誰なのかを訪問者に知らせるのに不安を与える場合は、ぜひそのシールを含めてください。

ワイルドカードSSL証明書

SSL 証明書は 1 つのドメインの ID を検証します。したがって、複数のサブドメイン (groovypost.com、mail.groovypost.com、 forum.groovypost.comなど)で HTTPS を使用したい場合は、3 つの異なる SSL 証明書を購入する必要があります。ある時点で、ワイルドカード SSL 証明書の方が経済的になります。つまり、1 つの証明書で 1 つのドメインとすべてのサブドメイン (つまり *.groovypost.com) をカバーします。

保証

企業の評判がどれほど長くても、脆弱性は存在します。2010 年に報告されなかった VeriSign の侵害が証明しているように、信頼できる CA であってもハッカーの標的になる可能性があります。さらに、2011 年の DigiNotar の騒動で見られたように、信頼できるリストにある CA のステータスはすぐに取り消される可能性があります。。

このようなランダムな SSL の放蕩行為の可能性に対する不安を和らげるために、現在、多くの CA が保証を提供しています。補償範囲は数千ドルから 100 万ドル以上まであり、証明書の悪用やその他の事故によって生じた損失も含まれます。これらの保証が実際に付加価値をもたらすのかどうか、あるいは請求に成功した人がいるのかどうか、私にはわかりません。しかし、それらはあなたの検討のためにそこにあります。

無料のSSL証明書と自己署名SSL証明書

利用できる無料の SSL 証明書は 2 種類あります。自己署名。主にプライベート テストと、有効な認証局によって発行された本格的な公的向け SSL 証明書に使用されます。良いニュースとしては、2018 年には、 SSL for FreeまたはLet's Encrypt の両方から完全に無料で有効な 90 日間の SSL 証明書を取得するためのオプションがいくつかあるということです。SSL for Free は主に Let's Encrypt API の GUI です。SSL for Free サイトの利点は、優れた GUI を備えているため使いやすいことです。ただし、Let's Encrypt は、SSL 証明書の要求を完全に自動化できるので便利です。複数の Web サイト/サーバーの SSL 証明書が必要な場合に最適です。

自己署名 SSL 証明書は永久に無料です。自己署名証明書を使用すると、あなたは自分自身の CA になります。ただし、Web ブラウザに組み込まれている信頼できる CA に含まれていないため、訪問者には、オペレーティング システムによって権限が認識されていないという警告が表示されます。そのため、自分が本人であるという保証はまったくありません (これは、写真付き身分証明書を発行して、酒屋でそれを偽装しようとするようなものです)。ただし、自己署名 SSL 証明書の利点は、Web トラフィックの暗号化が可能になることです。これは内部使用に適しており、スタッフに組織を信頼できる CA として追加して、警告メッセージを削除し、インターネット経由で安全な接続を行うことができます。

自己署名 SSL 証明書の設定手順については、OpenSSL のドキュメントを参照してください。(または、十分な需要があれば、チュートリアルを作成します。)

SSL証明書のインストール

SSL 証明書を購入したら、Web サイトにインストールする必要があります。優れた Web ホストは、これを行うことを提案してくれるでしょう。中には買ってあげるという人もいるかもしれません。多くの場合、これが請求を簡素化し、Web サーバーに対して適切にセットアップされるようにするため、最善の方法となります。

それでも、自分で購入した SSL 証明書をインストールするオプションはいつでもあります。その場合は、Web ホストのナレッジ ベースを参照するか、ヘルプデスク チケットを開くことから始めるとよいでしょう。SSL 証明書をインストールするための最適な手順を案内します。CA が提供する手順も参照してください。これらは、私がここで提供できる一般的なアドバイスよりも優れたガイダンスを提供します。

SSL 証明書をインストールするための次の手順も確認してください。

• IIS (Windows Server) で SSL を実装する方法
• Apache SSL/TLS 暗号化

これらの手順にはすべて、SSL 証明書署名要求 (CSR) の作成が含まれます。実際、SSL 証明書を発行するには、CSR が必要です。繰り返しますが、これについてはウェブホストがお手伝いします。CSR の作成に関する具体的な DIY 情報については、 DigiCertのこの記事をご覧ください。

HTTPS の長所と短所

私たちはすでに、HTTPS の長所であるセキュリティ、セキュリティ、セキュリティをしっかりと確立しています。これにより、データ侵害のリスクが軽減されるだけでなく、Web サイトの信頼が高まり、評判が高まります。知識のある顧客は、ログイン ページに「http://」が表示されても、わざわざサインアップしないかもしれません。

ただし、HTTPS にはいくつかの欠点があります。特定の種類の Web サイトに HTTPS が必要であることを考えると、これらを否定的なものではなく「考慮事項」として考える方が理にかなっています。

• HTTPS にはお金がかかります。まず、毎年の有効性を確保するために SSL 証明書を購入および更新するコストがかかります。ただし、専用 IP アドレスや専用ホスティング プランなど、HTTPS には特定の「システム要件」もあり、共有ホスティング パッケージよりもコストが高くなる可能性があります。
• HTTPS ではサーバーの応答が遅くなる可能性があります。SSL/TLS に関連して、ページの読み込み速度を低下させる可能性のある問題が 2 つあります。まず、初めて Web サイトとの通信を開始するには、ユーザーのブラウザがハンドシェイク プロセスを実行する必要があります。ハンドシェイク プロセスは、証明書を検証するために認証局の Web サイトにバウンスバックされます。CA の Web サーバーが遅い場合、ページの読み込みに遅れが生じます。これはほとんどあなたのコントロールを超えています。次に、HTTPS は暗号化を使用するため、より多くの処理能力が必要になります。これは、コンテンツの帯域幅を最適化し、サーバーのハードウェアをアップグレードすることで解決できます。CloudFare には、SSL が Web サイトの速度を低下させる仕組みとその理由に関する優れたブログ投稿があります。
• HTTPS は SEO の取り組みに影響を与える可能性があります。HTTP から HTTPS に移行する場合。新しい Web サイトに移動します。たとえば、 http://www.groovypost.com はhttps://www.groovypost.comと同じではありません。貴重なリンクジュースが失われないように、古いリンクをリダイレクトし、サーバーの内部で適切なルールを作成したことを確認することが重要です。
• 混合コンテンツは黄色のフラグを立てる可能性があります。一部のブラウザでは、Web ページの主要部分は HTTPS からロードされているが、画像やその他の要素 (スタイルシートやスクリプトなど) は HTTP URL からロードされている場合、ページに安全でないコンテンツが含まれていることを警告するポップアップが表示されることがあります。 。もちろん、たとえポップアップが表示されなかったとしても、安全なコンテンツがいくつかあるほうが、まったくないよりは優れています。それでも、ページに「混合コンテンツ」が存在しないようにすることは価値があるかもしれません。
• 場合によっては、サードパーティの支払い処理業者を利用する方が簡単な場合もあります。Google Checkout、Paypal、または Checkout by Amazon に支払いを処理させることは恥ずかしいことではありません。上記のすべてを議論するのは難しすぎると思われる場合は、顧客が Paypal の安全なサイトまたは Google の安全なサイトで支払い情報を交換できるようにすることで、トラブルを避けることができます。

HTTPS および SSL / TLS 証明書に関して他にご質問やコメントはありますか? コメントで聞かせてください。