やさしいネットワークとセキュリティ

ネットワーク・セキュリティエンジニアの視点から各種テクノロジーと資格試験対策をやさしく解説します。

常時SSL

常時SSLとは、WebサイトのすべてのページをSSL/TLSで暗号化して通信すること 

ブラウザのURL欄に「https://」や🔒が表記されるものです。(SSL/TLS化されていないサイトは「http://」)

以下のスクリーンショットは、SafariでSSL化されたWebページにアクセスして、🔓クリックでサーバ証明書を表示したところです。

 

       ブラウザSSL


SSLはインターネットにおける汎用的な暗号化方式ですが、正確には後継のTLSが利用されています。

SSLという名称が定着していることから、現在でもSSLSSL/TLSと呼ばれることが多くなっています。

これまではIDやパスワード、個人情報が直接やりとりされるページのみが暗号化されていました。

しかし、以下のような背景により、常時SSLが進んでいます。

  •  攻撃者がWebサイトとWebブラウザの間に割り込む「中間者攻撃」が発達し、改ざんや盗聴リスクが高まっている
  • 通常の閲覧ページの盗聴だけで、紐付いたアカウント情報の乗っ取りや、行動パターンなどの個人情報を盗み見されるリスクが高まっている
  • ブラウザでSSL化されていないページにアクセスする場合に警告メッセージが表示されたり、Googleが検索上位掲載の指針として常時SSLを採用している。常時SSLが社会的にも積極的なセキュリティ対策として評価されている
  • SSLには暗号化に必要なサーバ証明書が必要で、構築には難易度が高かったが、最近ではクラウドサービスなどのWebサイト構築のオプションとして利用可能となっている